Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Rapport des menaces en 2015 par F-Secure

386 views

Published on

Ce rapport décrit en détail l'éventail des cyber menaces auxquelles particuliers et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous exposons ici nos remarques concernant les cas connus de malware détectés
par les systèmes de renseignement anti-menace. Nous identifions par ailleurs plusieurs évolutions et tendances clés dans ce domaine.

Published in: Software
  • Be the first to comment

  • Be the first to like this

Rapport des menaces en 2015 par F-Secure

  1. 1. RAPPORT SUR LES MENACES 2015
  2. 2. 0302 RÉSUMÉ INCEPTION INTRUSION INFECTION INVASION EFFRACTION DANS LE JARDIN CLOS Fin 2015, l'App Store d'Apple a été victime d'une série d'incidents dus à l'utilisation d'outils infectés par des développeurs, créateurs malgré eux d'applications malveillantes. Passant outre le contrôle d'Apple, elles se sont immiscées dans sa plateforme et, de là, dans les périphériques iOS d'internautes. PRÉSENTATION DES DUKES Les membres des Dukes forment un groupe de cyber espionnage hautement spécialisé, extrêmement bien organisé et doté de nombreuses ressources. Ils travailleraient pour la Fédération de Russie depuis au moins 2008 dans le but de recueillir des renseignements permettant d'influer sur les décisions prises en matière de politiques de sécurité et d'affaires étrangères. CHAÎNE DE CONTAMINATION Étapes 2015 EN BREF Voici quelques-uns des événements majeurs de l'année en matière de cyber sécurité. 15/02 : Démantèlement du botnet Ramnit par Europol 15/07 : Fermeture du forum de piratage Darkode par le FBI POURSUITES 15/07 : Piratage de Hacking Team, divulgation de données en ligne 15/09 : Début du nettoyage de l'App Store pour éradiquer XcodeGhost ATTAQUES 15/07 : Rappels Ford, Range Rover, Prius et Chrysler pour cause de bug 15/07 : Signalement de la faille Android Stagefright VULNÉRABILITÉS 15/08 : Google corrige la faille de sécurité Android Stagefright 15/08 : Amazon et Chrome abandonnent les pubs Flash SÉCURITÉDES PRODUITS 08 2018 28 Njw0rm Gamarue Angler Dorkbot Kilim Nuclear Ippedo Dridex WormLink PRINCIPALES FAMILLES DE MALWARE Njw0rm a été la nouvelle famille de malware prédominante en 2015. 12 MENACES PAR ZONE GÉOGRAPHIQUE L'Europe a été particulièrement touchée par le kit d'exploitation Angler. De plus, elle a fréquemment été la cible de Trojan:JS/Redirector ainsi que d'attaques par fichiers contenant des macros qui téléchargent des ransomware. 15 CHAÎNE DE CONTAMINATION La chaîne de contamination est un modèle axé sur les utilisateurs qui illustre les combinaisons de tactiques et de ressources utilisées pour infecter leurs périphériques et leurs réseaux. Il comporte quatre grandes étapes : inception, intrusion, infection et invasion. 23 Les redirecteurs sèment la panique aux USA et dans l'UE (p. 28) AnglerEK domine Flash (p. 29) L'ascension des crypto-ransomware (p. 31) Downadup pourrait-il se refaire une santé grâce à l'Internet des objets ? (p. 34) Piratage DNS en 2015 : des botnets, des téléchargeurs et des voleurs d'informations (p. 33) Cerapportdécritendétaill'éventaildescybermenacesauxquellesparticuliers et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous exposons ici nos remarques concernant les cas connus de malware détectés par les systèmes de renseignement anti-menace. Nous identifions par ailleurs plusieurs évolutions et tendances clés dans ce domaine. Ce rapport introduit la « chaîne de contamination », un concept analytique permettant d'aider les lecteurs, en particulier ceux qui travaillent dans le domaine de la cyber sécurité et des technologies de l'information, à cerner les combinaisons de tactiques et de ressources des pirates. Ce modèle a été appliquéàcertainesdesmenaceslespluscourantesen2015(kitsd'exploitation, ransomware et piratages DNS, entre autres) afin d'illustrer comment les cyber criminels compromettent la sécurité des internautes. Ce rapport contient également des éléments clés concernant le penchant actuel des pirates pour les vers, les exploits et les macro-malware, mais aussi le recours croissant aux crypto-ransomware par les racketteurs en ligne ainsi que l'utilisation et l'efficacité grandissantes des kits d'exploitation visant les vulnérabilités Flash. De plus, il souligne l'importance des divers incidents de cybersécuritésurvenusen2015,notammentladécouvertedubugXcodeGhost dans l'App Store d'Apple et le démasquage des Dukes, un groupe de menaces avancées persistantes. Sans oublier certains signes laissant penser que la rencontre entre géopolitique et cyber sécurité ouvre la voie à une course au cyber armement. Les informations fournies sur les menaces observées à l'échelle mondiale sont étayées par des statistiques détaillées par pays et zones géographiques pour les plus courantes d'entre elles. Il en ressort clairement que, si le monde entier est connecté via Internet, les pirates sont à même de développer et distribuer des ressources leur permettant de cibler plus efficacement leurs victimes parmi les particuliers et les entreprises. SYNTHÈSE Auteurs Edilberto Cajucom Laboratoire • Patricia Dacuno Threat Intelligence, Laboratoire • Karmina Aquino • Threat Intelligence, Laboratoire • Broderick Aquilino Malware Protection, Laboratoire • Alia Hilyati Antimalware Unit • Sarah Jamaludin Antimalware Unit • Adam Pilkey Global Communications & Brand • Melissa Michael Global Communications & Brand Contributeurs Mikko Hypponen Laboratoire • Sean Sullivan Security Advisor • Andy Patel Technology Outreach • Zimry Ong Malware Protection, Laboratoire • Artturi Lehtiö Threat Intelligence, Laboratoire • Janne Kauhanen Cyber Security Services • Dariusz Jastrzebski Cyber Security Services
  3. 3. 0504 Avant, les conflits survenaient pour une question de frontières. Il y a bien longtemps, nous érigions des remparts autour de nos villes pour nous défendre. Ils nous protégeaient de nos ennemis. Au fil du temps, ces remparts sont devenus plus hauts, plus longs, plus larges. Or, plus ils s'allongeaient et s'élargissaient, plus ils se faisaient invisibles autour des zones de richesse, de prospérité, de puissance et de croyance qu'ils délimitaient. Finalement, ces remparts sont devenus des frontières qui sont restées l'objet de tous les conflits pendant des siècles. L'époque était alors aux désirs de conquêtes territoriales et de conversion religieuse des populations. Les guerres et autres conflits ont toujours été alimentés par les technologies, comme celles de la poudre, des lames en acier et des avions de chasse. Ce sont immanquablement ces incroyables possibilités technologiques qui se distinguent le plus durant ces périodes sombres. La guerre a toujours été un moteur de développement technologique, et inversement. C'estainsiquelaguerrefroideaproduituneffetcollatéral :Internet.Cherchant à maintenir une chaîne de commandement en cas de guerre nucléaire, l'armée américaine a conçu Internet dans ce but, comme une infrastructure militaire. En développant Internet, l'humanité a ouvert la voie à une toute nouvelle façon de se faire la guerre. Qui plus est, Internet n'est pas une zone géographique et ne connaît pas de frontières. Cette création a ouvert la boîte de Pandore dans un environnement dépourvu de délimitations tangibles, sans ennemis identifiables. Par ailleurs, les anciens conflits étaient de nature symétrique, armée contre armée. Aujourd'hui, la technologie guerrière a évolué. Nous ne savons plus qui sont nos ennemis ou ne sommes plus en mesure de les décrire ni d'identifier leurs objectifs et leurs motivations. Nous nous lançons dans une bataille, armés de technologies que nous ne maîtrisons pas complètement, contre des ennemis tapis dans l'ombre… et l'issue reste insondable. Contre qui nous battons-nous  ? Des pirates  ? Le collectif Anonymous  ? La mafia russe  ? La Corée du Nord ? Les conflits sur Internet sont complexes. La seule chose dont nous pouvons être sûrs, c'est que nous assistons au début d'une nouvelle course à l'armement : une course au cyber armement. MIKKO HYPPÖNEN Chief Research Officer @mikko AVANT-PROPOS « NOUS NOUS LANÇONS DANS UNE BATAILLE, ARMÉS DE TECHNOLOGIES QUE NOUS NE MAÎTRISONS PAS COMPLÈTEMENT, CONTRE DES ENNEMIS TAPIS DANS L'OMBRE » TABLE DES MATIÈRES 02RÉTROSPECTIVE 01GÉNÉRALITÉS 02 Résumé 03 Synthèse 04 Avant-propos 05 Table des matières 06 À noter 35 Conclusion 36 Sources 40 Annexe 40 Rapports nationaux 47 Descriptions des menaces 08 2015 en bref 10 Résumé des menaces 10 Malware par type 11 Pays qui en signalent le plus 12 Principales menaces 12 Principales familles de malware 12 Tendances des principales familles 13 Principaux génériques et familles héritées 13 Tendances des principaux génériques et familles héritées 14 Malware Mac 14 Malware Android 15 Menaces par zone géographique 03ÉTUDES DE CAS 18 Effraction dans le jardin clos 20 Présentation des Dukes 04CHAÎNE DE CONTAMINATION 23 Un modèle axé sur les utilisateurs 24 Étape par étape 25 Principales menaces par étape 26 Njw0rm 27 CosmicDuke 28 Étapes 28 Inception 29 Intrusion 31 Infection 33 Invasion : Infiltration 34 Invasion : Infestation
  4. 4. 06 Flash : Le dernier des maillons faibles Les exploits malveillants sont monnaie courante depuis plus de 10  ans. Tant et si bien qu'en 2006 les analystes de l'Institut InfoSec ont commencé à appeler plaisamment «  Exploit Wednesday  » le lendemain du «  Patch Tuesday  » de Microsoft. Tout reposait sur la réactivité. Le mardi, Microsoft livrait ses mises à jour, que les pirates disséquaient rapidement dans la foulée pour en identifier les vulnérabilités sous-jacentes. Armés de ces informations, ils créaient alors un exploit à intégrer à leurs malware visant les internautes qui n'avaient pas encore mis leur système à jour. Fin 2006, les malware se sont encore plus démocratisés avec l'arrivée des kits malveillants. Les premiers de ces kits, comme MPack, furent victimes de leur succès : pas assez évolutifs, ils furent en effet incapables de satisfaire une demande en constante augmentation. Toutefois, les services malveillants ont bien vite pris la relève et les marchés noirs du web proposent maintenant de nombreux kits d'exploitation. Aujourd'hui, fini l'« Exploit Wednesday ». Le logiciel Microsoft [1] est nettement plus sûr qu'il y a 10 ans et s'accompagne d'un déploiement accéléré des correctifs. C'est désormais Adobe que les kits d'exploitation prennent pour cible. Le programme Reader en a particulièrement fait les frais un certain temps (Flash aussi), avant de devenir quasi superflu avec l'avènement de la prise en charge des PDF en natif dans plusieurs navigateurs. Adobe a alors adopté des cycles de mise à jour stricts qui ont mis Reader à l'abri un moment. Le plug-in pour navigateur Java, maillon faible de la chaîne, est ensuite devenu la cible privilégiée des attaques. Les développeurs l'ont alors plus ou moins restreint à de très rares utilisations. Donc, à présent… le lecteur Flash d'Adobe est le dernier plug-in offrant la meilleure prise aux kits d'exploitation. Mais pour combien de temps ? Le 29 avril 2010, Steve Jobs a publié une lettre ouverte intitulée Thoughts on Flash (Pensées sur Flash) expliquant pourquoi Apple ne voulait pas de Flash sur ses périphériques iOS. Selon de nombreux analystes technologiques, cet événement a signé le début de la fin pour Flash Player, au moins sur les appareils mobiles. C'est désormais avéré. Le 28 juin 2012, Adobe a annoncé que la certification Flash Player ne serait pas disponible sur l'Android 4.1 et qu'il limiterait ses installations via Google Play à partir du15 août 2012 [2] . Depuis,lelecteurFlashtientbonsurlemarchédesordinateursdebureau,maisilestcritiquédetoute part. Ainsi, en août 2015, Amazon a annoncé qu'il n'accepterait plus les publicités en Flash à compter du 1er  septembre 2015. Google a suivi le mouvement en février 2016. Dans cette optique, AdWords et DoubleClick,sesréseauxpublicitaires,n'afficherontplusdepublicitésenFlashàpartirdu30 juin2016. Elles y seront complètement désactivées à partir du 2 janvier 2017. Àcestade,j'avanceraisuneprévisionpourdébut2017 :dèsqu'ilpourrasepasserdeprendreencharge les publicités en Flash, le navigateur Google Chrome commencera à forcer les internautes à autoriser tous les sites nécessitant la technologie Flash et sera suivi de près par Mozilla Firefox et Microsoft Edge. Ainsi, d'ici le printemps 2017... Flash ne sera plus d'aucune utilité aux kits d'exploitation. Les kits d'exploitation ont un avenir chaotique devant eux, sans nouvelle cible prometteuse à l'horizon. Les services malveillants, toujours plus répandus, intensifieront leurs envois de pièces jointes, comme le macro-malware qui fait fureur actuellement. Si seulement nous perdions le réflexe de cliquer sur « OK » pour nous débarrasser des boîtes de dialogue… SEAN SULLIVAN Security Advisor @5ean5ullivan À NOTER 1 À l'exception de Silverlight, actuellement cible de kits d'exploitation. Heureusement, Silverlight devrait bientôt disparaître puisque Netflix s'en détourne. 2 Ironie du sort, bon nombre de malware s'insinuent dans les appareils Android par le biais de publicités trompeuses pour une mise à jour Flash obligatoire. Même en l'absence de lecteur Flash, l'habitude mène parfois à l'ingénierie sociale. Les chercheurs de Google ont commencé à configurer le navigateur Chrome de façon à signaler les sites affichant ce type de publicité. 07 02 RÉTROSPECTIVE 08 2015 en bref 10 Résumé des menaces 11 Pays qui en signalent le plus 11 Malware par type 12 Principales menaces 12 Principales familles de malware 12 Tendances des principales familles 13 Principaux génériques et familles héritées 13 Tendances des principaux génériques et familles héritées 14 Malware Mac 14 Malware Android 15 Menaces par zone géographique 07
  5. 5. 2015 EN BREF MALWARE Août Google lance les mises à jour de sécurité Nexus mensuelles SÉCURITÉ DES PRODUITS VULNÉRABILITÉS Août Google corrige la faille de sécurité Android Stagefright SÉCURITÉ NUMÉRIQUE Octobre UE/USA : Invalidation de l'accord Safe Harbor Août USA : Sanctions prévues contre la Chine pour cyber vol Septembre Chine/USA : Entretien cyber sécurité avant la visite officielle Juillet Chine : Mise à jour des lois relatives au contrôle d'Internet Juillet Fermeture du forum de piratage Darkode par le FBI Février Démantèlement du botnet Ramnit par Europol ATTAQUES Juillet Signalement de la faille Android Stagefright Octobre Signalement de la faille Android Stagefright 2.0 Août Signalement de la faille Certifi-gate sur Android Mars Détection de la faille FREAK sur Android et Windows Septembre Signalement d'un exploit déjouant Gatekeeper sur Mac OS X Juillet Développement des outils de cyber criminalité des Dukes Mars Montée des ransomware Juillet Piratage de Hacking Team, divulgation de données en ligne INTERNATIONALPARTICULIERS Novembre USA : Fin des écoutes téléphoniques massives de la NSA Octobre USA - CISA : Adoption par le Sénat malgré des inquiétudes Décembre Chine : Inquiétudes au sujet de la loi antiterrorisme Octobre USA - DMCA : Davantage de produits de « piratage légal » POURSUITES Octobre USA : 4,5 ans de prison pour le créateur du botnet Citadel Octobre R-U/USA : Inculpation du créateur du botnet Dridex Octobre UE : Raids policiers liés au malware DroidJack Août Amazon et Chrome abandonnent les pubs Flash Octobre Chine : Arrestation de pirates sur requête des USA Octobre Perturbation de l'activité du kit d'exploitation Angler Septembre Malware Turla « en contact CC par satellite » Octobre Correction de plusieurs failles par les mises à jour Apple Décembre Signalement d'attaques DDoS sur des serveurs turcs Octobre Retrait de bloqueurs de pub dépassant les limites de l'App Store Septembre Identification de nouveaux outils des Dukes Août Démonstration de piratage d'une Corvette par des chercheurs Juillet Rappels Ford, Range Rover, Prius et Chrysler pour cause de bug Août Sortie du correctif antipiratage OTA pour la Tesla Model S Septembre Envoi postal Chrysler de clés USB avec correctif logiciel L'année 2015 s'est révélée mouvementée en matière de sécurité et de confidentialité en ligne. Voici quelques-uns des événements majeurs survenus qui influeront sur les interactions des internautes et leur rapport à la technologie. Nos sources sont répertoriées à la page 36.[ ] Septembre Début du nettoyage de l'App Store pour éradiquer XcodeGhost Septembre Attaque DDoS « lancée depuis des pubs sur mobile » VIEENLIGNE 0908
  6. 6. 1110 RÉSUMÉ DES MENACES Si la typologie des menaces observées en 2015 reprenait plusieurs tendances relevées en 2014, elle affichait également des divergences significatives. La surprise est notamment venue du retour des macro-malware qui avaient disparu depuis le début des années 2000. Par ailleurs, la proportion des vers dans le nombre total de détections de malware a augmenté, ce qui est en grande partie dû à l'émergence de diverses familles dans certaines régions du monde. Toutefois, les exploits et kits d'exploitation restent parmi les menaces les plus répandues auxquelles particuliers et entreprises sont confrontés en Europe comme en Amérique du Nord. Non seulement ils sont fréquemment détectés, mais certains indicateurs ont démontré en 2015 que leurs capacités ne cessent de s'étoffer et de s'étendre à de nouveaux vecteurs d'attaque. Le nombre de ransomware «  Gendarmerie  » a diminué en 2015, contrebalancé par l'activité croissante de plusieurs familles de crypto-ransomware (voir page  31) opérant par le biais de kits d'exploitation et de macro- malware. Par ailleurs, les autorités gouvernementales et les grandes entreprises s'intéressent de près aux menaces avancées persistantes (APT  – Advanced Persistent Threats), bien qu'elles n'affectent pas la plupart des internautes. En 2015, le Laboratoire F-Secure a publié un livre blanc présentant en détail les outils utilisés par les Dukes. Nous pensons que ce groupe de cyber espionnage hautement spécialisé, extrêmementbienorganiséetdotédenombreusesressources travaille pour la Fédération de Russie depuis au moins 2008 dans le but de recueillir des renseignements permettant d'influer sur les décisions prises en matière de politiques de sécurité et d'affaires étrangères. Vers Éternel leader du classement des détections de menaces, le vieillissant Downadup (alias Conficker) a conforté à lui seul les vers dans une position prédominante. En parallèle, leur visibilité s'est trouvée globalement accrue grâce à l'émergence de plusieurs familles parvenues à se propager dans les réseaux de certaines régions du monde. La plus remarquable de ces nouvelles familles est Njw0rm, un ver VBS qui s'infiltre via des lecteurs amovibles, des pièces jointes malveillantes à des e-mails et des téléchargements à la dérobée. Essentiellement conçu pour voler des informations, il a la capacité d'ouvrir des backdoors. Njw0rm a vu ses détections nettement augmenter au second semestre 2015 par rapport au premier, mais son action a été largement suffisante pour en faire la nouvelle famille de malware la plus importante de l'année. Le ver Dorkbot a, lui aussi, fait des dégâts. Il affiche de nombreuses caractéristiques en commun avec Njw0rm. Tous deux s'insinuent par le biais de lecteurs amovibles. Tous deux ouvrent des backdoors, volent des informations et peuvent communiquer avec des serveurs distants afin de recevoir des instructions complémentaires de la part des cyber criminels. Toutefois, Dorkbot est aussi capable de se propager en intégrant des liens malveillants à des messages instantanés ou sur les réseaux sociaux. Troisième nouvelle famille remarquée, Ippedo a fait l'objet d'un assez grand nombre de signalements pour entrer dans la liste des principales menaces de 2015. Il s'agit là encore d'un voleur d'informations distribué via des lecteurs amovibles. Cependant, il ne semble pas capable de se propager par d'autres moyens, ce qui réduit considérablement son importance par rapport aux autres familles. Considérés comme un type de menace au sens large, les vers ont significativement gagné en ampleur l'an dernier. En 2015, les familles de vers représentaient en effet 18 % du total des détections de malware, contre 12 % en 2013 et 10 % en 2014. Toutefois, à l'exception du tristement célèbre ver Downadup (prédominant partout dans le monde), la plupart de ces familles ont seulement été repérées en Asie, au Moyen-Orient et, dans une moindre mesure, en Amérique du Sud. Malgré cette poussée, le cheval de Troie (par exemple, Gamarue ou Kilim) est resté le type de malware le plus souvent rencontré en 2015. Exploits et kits d'exploitation Très présents en 2015, les exploits se sont montrés actifs dans plusieurspays.Lekitd'exploitationAnglers'estparticulièrement illustré dans diverses régions du monde, régnant au Royaume- Uni, en Suède et en Australie. S'il disposait de l'arsenal le plus complet d'exploits déployé l'an dernier, sa réussite (et celle des kits d'exploitation en général) semble en partie due à son utilisation de plus en plus efficace de différents vecteurs d'attaque. La prédominance des signalements de la détection générique Trojan:JS/Redirector en apporte la preuve. Les pirates introduisent ce type de cheval de Troie sur des sites web légitimes afin de rediriger leurs visiteurs vers d'autres sites hébergeant des kits d'exploitation, notamment Angler et Nuclear. Cette attaque a été si répandue l'an dernier qu'elle s'est vu décerner le titre peu glorieux de menace principale en Suisse et au Danemark. De leur côté, les vulnérabilités Flash ont grandement contribué à la réussite des exploits, et ce même indépendamment des kits d'exploitation. En effet, les exploits identifiés par la détection générique Exploit:SWF/Salama ont compté parmi les menaces les plus présentes, notamment en Europe et aux États-Unis. Bien qu'elles ne jouissent pas de la même ampleur qu'Angler, ces deux types d'attaques ont ciblé le nombre apparemment infini d'internautes qui exécutent des versions vulnérables de Flash. Dans l'ensemble, la menace représentée par les exploits n'a pas énormément évolué par rapport aux années précédentes. MALWARE PAR TYPE 2015 2014 2013 VER CHEVAL DETROIE EXPLOIT VIRUS BACKDOOR AUTRES 67 18 8 6 1 1 VER CHEVAL DETROIE EXPLOIT VIRUS BACKDOOR AUTRES 73 10 8 6 1 1 VER CHEVAL DETROIE EXPLOIT VIRUS AUTRES BACKDOOR 63 12 11 9 4 1 POURCENTAGES DES DÉTECTIONS DE MALWARE SIGNALÉES Ils s'en prennent toujours aux particuliers et entreprises qui utilisent des logiciels dépassés ou non corrigés (par exemple, les exploitsWormLinkleurdemandentd'ouvrirunfichiercontenant un code qui exploite une vulnérabilité). Comme en 2014, ils ont constitué 8 % du total des détections de malware. Toutefois, leur contenu malveillant (entre autres, des ransomware) s'est diversifié et aggravé  : il est donc plus que jamais nécessaire de mettre à jour ses logiciels dès la publication de nouveaux correctifs de sécurité. Macro-malware L'année 2015 nous a offert une évolution intéressante avec le retour des macro-malware. Ces documents contenant du code malveillant dissimulé ont marqué la fin des années 1990 et le début des années 2000. Mais lors du lancement de la suite Office 2003, Microsoft a modifié les paramètres de sécurité par défaut pour empêcher l'activation automatique des macros à l'ouverture d'un document, compliquant considérablement la tâche des pirates. Pourtant, à partir de juin 2015, les macro-malware ont retrouvé une place de choix dans les rapports de télémétrie. Loin de figurer parmi les menaces prédominantes, ils ont néanmoins fait leur petit effet dans plusieurs pays d'Europe. Ils se propagent principalement grâce aux pièces jointes des e-mails et utilisent des techniques d'ingénierie sociale pour pousser les internautes à ouvrir les documents et à activer les macros, ce qui entraîne l'exécution du code malveillant. Les macro-malware et les exploits se ressemblent de par leur intention commune, à savoir attaquer en vue d'injecter du contenu malveillant. En 2015, il s'agissait notamment de graves menaces telles que le cheval de Troie bancaire Dridex et de crypto-ransomware tels que CryptoWall. Malware Android En 2015, l'écosystème Android a vu Slocker s'élever au rang des menaces prépondérantes. Même si les principaux chevaux de Troie envoyeurs de SMS sont restés très présents, notamment en France, la popularité croissante de Slocker marque un tournant dans le domaine des malware mobiles, qui ciblent maintenant davantage le contenu stocké sur les périphériques. L'action des backdoors (dont CoudW) indique également une évolutionaccruedestypesdecontaminationvisantlessystèmes d'exploitation par rapport aux années précédentes. Mac et iOS Les backdoors représentaient le type de malware le plus souvent détecté sur les systèmes d'exploitation Apple en 2014, ce qui offrait un contraste intéressant à la domination sans partage des chevaux de Troie sur Windows et Android. En 2015, l'écosystème Apple a subi sa plus terrible attaque à ce jour. En effet, durant l'« incident XcodeGhost », des pirates sont parvenus à s'introduire dans le très sécurisé App Store en infectant des copies de Xcode, l'outil de développement d'applications d'Apple, disponibles sur des forums de téléchargement public chinois. Ce faisant, ils ont réussi à insérer du code malveillant dans des applications qui étaient ensuite proposées sur l'App Store. Ces pirates ont tiré parti de la situation toute particulière de la Chine, où les développeurs qui ont du mal à accéder aux serveurs de téléchargements d'Apple situés à l'extérieur du pays se tournent vers des sources locales pour obtenir une copie de l'outil souhaité. C'est ce qui a permis que leurs applications, ainsi infectées, arrivent sur l'App Store. PAYS QUI EN SIGNALENT LE PLUS L'illustration ci-dessus représente le volume des signalements de détections que nous avons reçus pour chaque pays par rapport à sa population d'internautes (ceux qui utilisent nos produits de sécurité). Par exemple, malgré son grand nombre d'internautes, peu de signalements nous sont parvenus de la Finlande comparativement à Oman, qui conjugue vaste population d'internautes et taux de détection élevés. Démasquage des Dukes Les APT sont des programmes perfectionnés, en général conçus spécifiquement dans le but de s'insinuer et rôder en toute discrétion dans les réseaux et les systèmes d'exploitation. Ces menaces silencieuses visent les entreprises qui traitent des affaires ou des informations de production confidentielles. En 2015, le Laboratoire F-Secure a publié un livre blanc exposant le groupe de cyber espionnage à l'origine de cette menace : les Dukes, créateurs d'une série d'outils utilisés depuis 2008 et développés en continu au cours de ces sept dernières années. Leurs outils (CozyDuke, MiniDuke, HammerDuke et SeaDuke, entreautres)intègrenttousdesfonctionsvariéestellesquelevol de mots de passe, l'ouverture d'une backdoor et le lancement d'attaques par déni de service distribué (DDoS  – Distributed Denial of Service). Bien qu'il soit peu probable que le commun des internautes le rencontre un jour, cet arsenal très ciblé concerne plus précisémentetplusdirectementceuxquisontliésàdessociétés ou des organes gouvernementaux présentant un intérêt pour les Dukes. Oman Philippines Malaisie Argentine Colombie Mexique Égypte Équateur IranEAU Turquie Tunisie Roumanie Maroc Bulgarie Taïwan Grèce Ukraine Russie Hongrie CoréeduSud Serbie SriLanka Inde Chili Chine Pays-Bas France États-Unis Royaume-Uni Portugal HongKong Pologne Italie Australie AfriqueduSud Canada Espagne RépubliqueTchèque Slovénie Suisse Croatie Allemagne Singapour Estonie Japon FinlandeDanemark Irlande Autriche Belgique ThaïlandeBrésil Norvège Suède Les vers ont significativement gagné en ampleur en 2015 par rapport aux deux années précédentes.
  7. 7. 1312 PRINCIPALES FAMILLES DE MALWARE En général, deux programmes malveillants qui partagent un code ou un comportement spécifique sont considérés comme membres d'une même famille. Les logiciels de sécurité repèrent souvent les différentes menaces d'une famille au moyen d'une détection qui identifie leurs caractéristiques communes. Les principales menaces observées en 2015 qui appartenaient à des familles distinctes de malware sont répertoriées à droite. La taille des bulles est proportionnelle à leur pourcentage du total des détections de malware par nos produits de sécurité sur l'ensemble de l'année. TENDANCES DES PRINCIPALES FAMILLES JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC 0,0 0,4 0,2 0,6 POURCENTAGEDUTOTALDESDÉTECTIONS DEMALWARESIGNALÉESEN2015 MOIS (2015) Njw0rm ver Gamarue cheval de Troie Angler kit d'exploitation Dorkbot ver Ippedo ver WormLink exploit Les principales familles présentées ont connu des pics d'activité manifestes tout au long de l'année 2015. Les détections de nouvelles familles de vers ont enregistré une hausse significative au second semestre. Les variations de leur prédominance respective sont attribuables à plusieurs causes, par exemple la distribution plus active des malware par le biais de campagnes de hameçonnage ou un changement dans la logique de détection d'une famille spécifique. PRINCIPALES MENACES Njw0rm ver Gamarue cheval de Troie Angler kit d'ex- ploitation Worm- Link exploit Dorkbot ver Kilim cheval de Troie Nuclear kit d'ex- ploitation Dridex cheval de Troie-télé- chargeur Ippedo ver Trojan.LNK.Gen Sality bot Downadup ver (Conficker) Trojan: W32/ Autorun Exploit: Java/ Majava Ramnit bot Trojan: JS/ Redirector Worm: W32/ Kataja PRINCIPAUX GÉNÉRIQUES ET FAMILLES HÉRITÉES Certains malware persistent durant des années. Ils forment des «  familles héritées  » dont la longévité s'explique de multiples manières, notamment par l'infection de nouveaux internautes ou l'altération d'un malware existant afin de réattaquer les mêmes cibles. Certains malware échappent aux détections de famille, mais pas aux détections génériques qui recherchent des caractéristiques globalement similaires. Les principales menaces observées en 2015 sont répertoriées à droite. Elles comprennent aussi bien les familles héritées que les détections génériques (identifiées par leur nom complet). La taille des bulles est proportionnelle à leur pourcentage du total des détections de malware par nos produits de sécurité sur l'ensemble de l'année. TENDANCES DES PRINCIPAUX GÉNÉRIQUES ET FAMILLES HÉRITÉES Trojan: W97M/ Malicious Macro Exploit: SWF/ Salama JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC 0,0 0,2 0,4 0,6 0,8 1,0 1,2 MOIS (2015) Trojan.LNK.Gen (cheval de Troie « raccourcis ») Downadup ver (Conficker) Worm:W32/Kataja Sality bot Ramnit bot Trojan:W32/Autorun Exploit:Java/Majava Trojan:W97M/ MaliciousMacro Exploit:SWF/Salama POURCENTAGEDUTOTALDESDÉTECTIONS DEMALWARESIGNALÉESEN2015 Trojan:JS/Redirector Sur ce graphique, les zones colorées représentent les détections génériques, tandis que les lignes représentent les familles de malware. Alors que Trojan.LNK.Gen a sensiblement reculé à l'automne, la progression des chevaux de Troie en juin marque le grand retour des macro-malware.
  8. 8. 1514 JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DÉC 7 3 9 9 5 2 39 14 9 3 9 6 TOTAL DES ÉCHANTILLONS (DEPUIS JANVIER) NOMBRE D'ÉCHANTILLONS REÇUS PAR MOIS 7 10 19 28 33 35 74 88 97 100 109 115 13+87+x CHEVAL DE TROIE 13 % (15 ÉCHANTILLONS) 73 % du total des échantillons de chevaux de Troie appartiennent à la famille Flashback, un groupe de malware qui téléchargent des fichiers malveillants en se connectant à un site distant. 58+42+x BACKDOOR 58 % (67 ÉCHANTILLONS) La disponibilité du code source pourrait en partie contribuer à la proportion considérable des backdoors parmi les menaces visant Mac OS X. 2+98+x EXPLOIT 1 % (1 ÉCHANTILLON) Exploit:OSX/CVE-2009-1237 tire parti d'une vulnérabilité ancienne, possible cause de déni de service. 28+72+x AUTRES 28 % (32 ÉCHANTILLONS) Les autres menaces repérées comprennent les applications potentiellement indésirables (API). 115 Nombre de malware Mac reçus de ÉCHANTILLONS DISTINCTS JANVIER à DÉCEMBRE 2015 MALWARE MAC MALWARE ANDROID SMSSEND CHEVAL DE TROIE Envoie des SMS à des numéros surfacturés à l'internaute. 1 SLOCKER CHEVAL DE TROIE Chiffre des fichiers image, texte et vidéo, puis exige une rançon pour déverrouiller les périphériques et déchiffrer les fichiers. 2 FAKEINST CHEVAL DE TROIE Ressemble à un programme d'installation d'une application populaire, mais envoie en fait des SMS à des numéros ou services surfacturés. 3 25+75+N Le TOP 10 DES MALWARE ANDROID représente 25 % du total des malware Android détectés en 2015. 25 % GINMASTER CHEVAL DE TROIE Vole des informations confidentielles sur les périphériques touchés et les communique à un site web distant. 4 GINGERBREAK EXPLOIT Exploite une vulnérabilité des systèmes Android antérieurs à la version 2.34 en vue d'accéder aux privilèges racine des périphériques touchés. 5 SMSPAY CHEVAL DE TROIE Envoie des SMS à des numéros surfacturés à l'internaute. 6 DROIDROOTER EXPLOIT Accède aux privilèges racine. Sert aussi d'outil de piratage si délibérément exécuté, en vue d'une prise de contrôle racine. 7 DIALER CHEVAL DE TROIE Affiche constamment une page plein écran à caractère pornographique qui exhorte l'internaute à composer un numéro de téléphone. 8 SMSKEY CHEVAL DE TROIE Envoie des SMS à des numéros surfacturés à l'internaute. 9 COUDW CHEVAL DE TROIE Ouvre une backdoor qui permet aux pirates de prendre le contrôle des périphériques touchés. 10 TOP 10DESMALWAREANDROID 15 % 2,5 % 2,3 % 1,7 % 1,2 % 0,5 % 0,5 % 0,4 % 0,3 % 0,2 % EUROPE Finlande Signalement d'un nombre élevé de détections de Trojan:JS/ Redirector, ainsi que des menaces Downadup et Angler. France Seul pays signalant un nombre significatif de chevaux de Troie SmsSend sur Android. Détections fréquentes de Downadup et Trojan:JS/Redirector. Royaume-Uni Nombreux signalements du kit d'exploitation Angler, de Trojan:W97M/MaliciousMacro et de Trojan:JS/Redirector. Italie Seul pays signalant une présence significative du malware de vol bancaire Expiro. Détections fréquentes de Downadup et Trojan:W32/Autorun. Danemark Signalement de Trojan:JS/ Redirector, d'Exploit:W32/ OfficeExploitPayload et d'Angler comme menaces les plus fréquentes. Suède Signalement des kits d'exploitation Angler et Nuclear, ainsi que de Trojan:JS/Redirector comme menaces les plus fréquentes. Allemagne Signalement d'un nombre élevé de détections de Downadup, d'Exploit:W32/OfficeExploitPayload et de Trojan:JS/Redirector. Autriche Seul pays signalant une présence significative du cheval de Troie bancaire Banker. Détections fréquentes des chevaux de Troie FakePDF Trojan:JS/Redirector. Suisse Signalement de Trojan:JS/Redirector et du kit d'exploitation Angler essentiellement, avec Exploit:SWF/ Salama comme troisième menace la plus fréquente. MENACES PAR ZONE GÉOGRAPHIQUE Bien que les dix principales menaces se soient peu ou prou retrouvées dans pratiquement tous les pays en 2015, les rapports de télémétrie des internautes qui utilisent nos produits dans chaque région du monde présentaient des profils de menaces distincts. L'Europe a été particulièrementtouchéeparlekitd'exploitationAngler.Deplus,ellea fréquemment été la cible du cheval de Troie Trojan:JS/Redirector ainsi que d'attaques par fichiers contenant des macros qui téléchargent des ransomware. Certains pays d'Europe ont signalé des taux élevés de menaces particulières. Pologne Signalement de Trojan:W32/Autorun et du kit d'exploitation Angler comme menaces les plus fréquentes. Seul pays avec présence significative du virus Virtob.
  9. 9. 16 Afrique Les signalements les plus courants concernent les fichiers de raccourcis malveillants, suivis par ceux du ver Ippedo et du bot Sality. Moyen-Orient Le ver Downadup reste la menace la plus fréquemment signalée, suivie par les fichiers de raccourcis malveillants et le ver Njw0rm. Amérique du Sud Les fichiers de raccourcis malveillants constituent les malware les plus courants, talonnés par les vers Downadup et Njw0rm. Asie Les internautes ont le plus souvent été victimes de fichiers de raccourcis malveillants ainsi que des vers Downadup et Njw0rm. Les menaces liées aux botnets (Sality et Ramnit) ont aussi fait l'objet de signalements fréquents. RESTE DU MONDE Océanie Les fichiers de raccourcis malveillants et Angler ont fait l'objet du plus grand nombre de signalements. Les exploits WormLink se sont également distingués. États-Unis Les internautes ont signalé la prédominance du kit d'exploitation Angler et d'Exploit:SWF/Salama, suivis par Trojan:JS/Redirector. Japon Outre la constante présence de Downadup, les internautes ont le plus souvent signalé des détections d'Angler et de Trojan:W32/Autorun. Brésil Outre la constante présence de Downadup, les internautes ont signalé la prépondérance de Trojan:JS/Redirector et du kit d'exploitation Angler. Des rapports de télémétrie concernant d'autres régions que l'Europe ont fait état d'une plus grande variété de malware, certains pays apparaissant plus touchés que la moyenne par un type particulier dans leur zone géographique. Inde Le ver Downadup a été la menace la plus souvent signalée, suivie par le bot Sality et le ver Njw0rm. Oman Les internautes ont signalé la présence significative des vers Njw0rm et Dorkbot, ainsi que de Worm:W32/Kataja. Australie Le kit d'exploitation Angler, les exploits WormLink et Trojan:W97M/MaliciousMacro ont été les menaces les plus signalées. Amérique du Nord La menace prédominante est le kit d'exploitation Angler, suivi par les exploits Salama qui ciblent les vulnérabilités Flash Player. 03 ÉTUDESDECAS 18 Effraction dans le jardin clos 20 Présentation des Dukes 17
  10. 10. 1918 À l'heure actuelle, la plupart des attaques visent les internautes. Les pirates aiment notamment les piéger de façon à leur faire télécharger et installer eux-mêmes des malware à leur insu (cette tactique est connue sous le nom d'«  ingénierie sociale  »). Ils affectionnent également une autre méthode, pourtant techniquement complexe, qui consiste à exploiter des failles ou des lacunes permettant d'infecter discrètement les périphériques des internautes. Ces points faibles se trouvent en général au sein d'une application ou d'un appareil. Ils sont plus rarement le fait d'un programme, d'un processus ou d'un système sans rapport direct avec l'internaute touché. Cependant,certainspiratespréfèrentlescheminsdétournés. Ainsi, fin 2015, l'App Store d'Apple a enregistré une série d'incidents mettant en évidence les ramifications possibles des attaques qui obéissent à une autre tactique : le ciblage des développeurs. Ces incidents résultaient de l'utilisation d'outils infectés par des développeurs, qui avaient ainsi créé à leur insu des applications au comportement malveillant. Celles-ciontréussiàpasseroutrelesprocéduresdecontrôle de code d'Apple pour s'immiscer dans la plateforme et, de là, dans les périphériques iOS standard des internautes. RETRAIT DES APPLICATIONS XCODEGHOST DE L'APP STORE Apple soumet tous les programmes qui lui sont proposés à un mécanisme de contrôle rigoureux avant de les ajouter à son référentiel de logiciels, réputé merveilleusement exempt de comportement malveillant. Le tout premier malware détecté sur l'App Store en 2012 [1] était l'application Find Call, qui utilisait les coordonnées stockées sur l'appareil touché pour envoyer du courrier indésirable. Au cours des trois années suivantes, seuls deux ou trois incidents relativement mineurs se sont produits et les applications non conformes aux règles strictes d'Apple se sont vues exclues de sa boutique. En septembre 2015, cette situation idyllique a brusquement tourné au cauchemar lorsqu'Apple a annoncé avoir retiré de l'App Store plusieurs applications contaminées par un programme malveillant du nom de XcodeGhost. Selon les journalistes, plus de 30  applications étaient touchées mais certains ont ultérieurement porté ce bilan à plus de 300[2,3] . Le point le plus remarquable de cet incident était qu'au moins une partie des applications concernées provenaient d'entreprises fiables et renommées dans le secteur du développement de logiciels. La plus connue était sans doute l'éditeur de WeChat, un programme de messagerie très répandu. D'autres applications (Railway 12306, Camcard et NetEase Cloud Music, entre autres) comptaient des millions, voire des dizaines de millions d'adeptes. Si la majorité d'entre eux se trouvaient en Chine continentale, bon nombre des applications touchées étaient également utilisées dans d'autres régions du monde, dont les États-Unis et l'Europe. EFFRACTION DANS LE JARDIN CLOS Les chercheurs des entreprises Weibo, Alibaba et Palo Alto Networks, notamment, ont identifié la source du problème, à savoir une version contaminée de l'outil de développement Xcode d'Apple. Disponible gratuitement sur les serveurs de la société, Xcode sert à compiler des applications destinées aux plateformes iOS et Mac OS X. Toutefois, comme c'est le cas pour de nombreux autres programmes commerciaux ou d'entreprise, des services de partage de fichiers en proposent des copies téléchargeables aux développeurs qui, pour une raison quelconque, n'ont pas accès à la plateforme officielle. Selonlesjournalistes,laconnexionInternetaurestedumonde étant ce qu'elle est en Chine continentale, l'accès aux serveurs situés à l'extérieur du pays se trouve nettement ralenti, surtout pour y télécharger des fichiers volumineux (environ 3,5  Go pour la dernière version de Xcode). Cette difficulté a incité de nombreux développeurs à se servir de copies de l'outil hébergéessurdesserveurssituésenChine.Malheureusement, des lignes de code avaient été ajoutées à certaines d'entre elles. Lorsque les développeurs compilaient leurs applications respectives à l'aide du programme Xcode contaminé, ce code supplémentaire s'y introduisait discrètement à leur insu. Le code supplémentaire visait à communiquer des informations stockées sur les périphériques touchés à un serveur distant. Cependant, les chercheurs ont vite remarqué qu'il n'existait aucune trace de dommage ni de vol de données effectif. Il a néanmoins été recommandé aux internautes ayant téléchargé des applications infectées de les supprimer de leurs appareils ainsi que de changer leurs données de connexion aux comptes de messagerie ou de réseaux sociaux associés à ces applications en attendant que les développeurs en fournissent une version propre. AUTRE VICTIME : LA PLATEFORME UNITY Peu après l'annonce de l'incident XcodeGhost, les chercheurs en sécurité chez PwC ont déclaré que des copies clonées de la plateforme Unity en cours de distribution avaient subi une modification similaire, ce qui a valu à ces clones le nom d'UnityGhost [4] . Unity est un environnement commercial de développement tiers qui permet de créer des applications iOS (ainsi que des programmes destinés à d'autres systèmes comme Android et Windows). Par chance, dans ce cas, aucune application élaborée avec une copie contaminée ne s'est retrouvée sur l'App Store. RETRAIT DES APPLICATIONS COMPILÉES AVEC YOUMI Un mois plus tard, nouvel incident du même genre  : des applications étaient supprimées de l'App Store, car elles recueillaient des informations concernant les internautes et leurs appareils [5] . Dans ce cas, elles avaient été élaborées à l'aide du kit de développement logiciel (SDK  – Software Development Kit) tiers Youmi, qui permettait d'y intégrer des publicités. Là encore, les développeurs ignoraient que leurs créations étaient infectées de façon à passer outre les strictes procédures de sécurité et de confidentialité mises en place par Apple. Bien que la société n'ait pas précisé le nombre d'applications retirées à cette occasion, la presse l'a estimé à « plus de 250 ». Par ailleurs, l'entreprise basée en Chine à l'origine du SDK Youmi a publié des excuses officielles [6] et spécifié qu'elle «  collaborait avec Apple pour résoudre ce problème ». CIBLAGE DES DÉVELOPPEURS Collectivement, ces incidents démontrent clairement que les remparts protégeant l'App Store ne sont pas inviolables et qu'il est possible d'atteindre les propriétaires de périphériques iOS en passant d'abord par les développeurs d'applications. En effet, à chaque fois, l'outil de développement utilisé en toute innocenceavaitétémodifiédefaçonàintroduirediscrètement un code malveillant dans le produit fini. Cetyped'attaquen'étaitpastoutàfaitnouveau :ainsi,en2010, un virus avait été décelé qui introduisait du code indésirable dans chaque fichier exécutable créé avec le programme Delphi [7, 8] . En revanche, le dernier incident en date a eu sur l'App Store des répercussions publiques sans précédent. Aujourd'hui, la plupart des détenteurs d'appareils mobiles ne prêtent plus trop attention à l'avertissement standard  : «  Méfiez-vous des boutiques d'applications tierces  ». Manifestement, les développeurs ne sont pas plus à l'abri que les « internautes lambda » des motifs qui poussent le plus couramment à utiliser quand même ces sources, à savoir  : l'insuffisance de la bande passante, l'accès restreint aux sites web étrangers et l'alléchante disponibilité garantie par les référentiels tiers. Dans le but de remédier au moins en partie à cette situation, la société Apple a annoncé qu'elle prévoyait de rendre le programme officiel Xcode plus facilement accessible aux développeurs en Chine en le proposant également sur des serveurs installés dans le pays [9] . Malgré cette récente mésaventure, l'App Store reste plus difficile à pirater que l'écosystème Android (où le vecteur d'attaque le plus simple et le plus efficace reste l'ingénierie sociale).Toutefois,iln'estpasinviolable.Lesincidentssurvenus soulignent combien il est essentiel de maintenir un contrôle rigoureux tout au long du processus de développement. En effet, non seulement une contamination d'une telle ampleur met en péril la sécurité des internautes, mais elle ternit la réputation et l'image de fiabilité des développeurs concernés ainsi que de l'App Store même. DÉVELOPPEURS D'APPLIS APP STORE Appli + code malveillant Appli propre SOURCE TIERCEAPPLE PIRATE CONTAMINATION AU STADE DE DÉVELOPPEMENT Données collectées DÉTENTEURS D'APPLICATIONS Sources répertoriées à la page 38.
  11. 11. L'HISTOIRE John Kasai de Klagenfurt Enregistrement d'un vaste groupe de noms de domaine sous l'alias « John Kasai » de Klagenfurt, en Autriche. Ces domaines sont ensuite utilisés lors de campagnes des Dukes jusqu'en 2014. Dans l'ombre Les Dukes se font discrets en 2012. Utilisation active mais mises à jour mineures de CosmicDuke et MiniDuke. En revanche, utilisation moindre mais mises à jour majeures de GeminiDuke et CozyDuke. Tchétchénie Deux campagnes PinchDuke repérées en novembre 2008, avec des références à deux sites web turcs comprenant du contenu relatif à la Tchétchénie. Campagnes contre l'Occident PinchDuke lance deux grandes campagnes groupées. La première cible un groupe de réflexion spécialisé en politique d'affaires étrangères basé aux États-Unis ainsi que des institutions gouvernementales en Pologne et en République tchèque. La seconde vise à collecter des informations concernant les relations entre la Géorgie et l'OTAN. CosmicDuke dans le Caucase PinchDuke poursuit ses campagnes contre des pays du Caucase (Turquie, Géorgie, Kazakhstan, Kirghizistan, Azerbaïdjan et Ouzbékistan) tout en passant le relais en douceur à un nouvel outil : CosmicDuke. Enrichissement de l'arsenal des Dukes MiniDuke et CozyDuke entrent en scène. Le premier s'articule autour d'une backdoor toute simple tandis que le second est plus polyvalent grâce ses divers modules. PinchDuke et GeminiDuke Deux outils auraient été développés en 2008 : (1) PinchDuke, lancé dans l'année et (2) GeminiDuke, lancé en janvier 2009. MiniDuke se fait remarquer MiniDuke attire l'attention des chercheurs en sécurité, qui en dissèquent des échantillons et publient leurs conclusions. Cas particulier : OnionDuke OnionDuke fait ses débuts, avec sa capacité à voler des mots de passe, collecter des données, lancer des attaques DoS et publier du courrier indésirable. Les Dukes et l'Ukraine En 2013, bon nombre de documents pièges utilisés lors de campagnes des Dukes concernent l'Ukraine. Une fois la crise politique déclarée dans le pays et la position de la Russie connue, l'Ukraine n'intéresse plus les Dukes. CosmicDuke en lutte contre la drogue En septembre 2013, une campagne CosmicDuke vise des intervenants russes impliqués dans le trafic de substances illicites et réglementées. MiniDuke renaît de ses cendres Après avoir ralenti ses activités en 2013 pour rester discret, MiniDuke opère un retour en force en 2014. Doté de composants revus et corrigés, il devient plus furtif. CosmicDuke et son quart d'heure de gloire F-Secure et Kaspersky publient des recherches sur CosmicDuke. Malgré ces révélations, les Dukes préfèrent poursuivre leurs opérations plutôt que de se cacher. CozyDuke et les vidéos de singes CozyDuke envoie des e-mails de harponnage contenant une vidéo Flash piège d'une publicité du Super Bowl 2007, mettant en scène des singes dans un bureau. OnionDuke pris la main dans le sac du nœud Tor En octobre 2014, Leviathan Security Group découvre un nœud de sortie Tor malveillant. L'enquête F-Secure révèle qu'il servait à infecter des fichiers exécutables avec OnionDuke. Cette variante n'était pas destinée à lancer des attaques ciblées mais plutôt à former un petit botnet. Les Dukes se dépassent Janvier 2015 marque le début de la plus importante campagne des Dukes à ce jour, qui repose sur l'envoi massif d'e-mails de harponnage. CozyDuke poursuit ses opérations, relayé ensuite par SeaDuke et HammerDuke. SeaDuke, en langage Python, fonctionne sur Windows et sur Linux. HammerDuke, en langage .NET, fonctionne seulement sur Windows. CloudDuke Lancement d'une nouvelle grande campagne de hameçonnage en juillet 2015 avec un nouvel outil baptisé CloudDuke. Opération en deux vagues. CosmicDuke poursuit ses frappes chirurgicales En parallèle des campagnes d'envergure de CozyDuke et CloudDuke, CosmicDuke se concentre sur de discrètes frappes ciblées. PRÉSENTATION DUKESDES Les membres des Dukes forment un groupe de cyber espionnage hautement spécialisé, extrêmement bien organisé et doté de nombreuses ressources. Nous pensons qu'ils travaillent pour la Fédération de Russie depuis au moins 2008 dans le but de recueillir des renseignements permettant d'influer sur les décisions prises en matière de politiques de sécurité et d'affaires étrangères. 2008 2009 2010 2011 2012 2013 2014 2015 PIÈGES EXPLOITATION DE VULNÉRABILITÉS Des e-mails de harponnage contenant des pièces jointes malveillantes ou des liens vers des URL hébergeant des malware infectent plusieurs victimes. Une exploitation Zero Day utilise CVE-2013-0640 pour déployer MiniDuke. Des exploits disponibles sont utilisés au sein de vecteurs d'infection et de malware. VECTEURS D'INFECTION Des images, documents et vidéos Flash sont employés comme fichiers pièges au sein de vecteurs d'infection. RÔLE ET PARRAINAGE PAR L'ÉTAT Les Dukes seraient un groupe de cyber espionnage soutenu par les autorités gouvernementales russes. Cibles : entités intervenant dans le domaine des politiques de sécuritéetd'affaires étrangères. Mission : recueillir des renseignements permettant d'influer sur les politiques de sécurité et d'affaires étrangères. LES OPÉRATIONS Les victimes peuvent se trouver de nouveau infectées par un autre outil malveillant de l'arsenal des Dukes. Exemple : les victimes de CozyDuke sont aussi touchées par SeaDuke, HammerDuke ou OnionDuke. L'une des variantes d'OnionDuke se propage via un nœud Tor malveillant qui insère un cheval de Troie au sein d'applications légitimes. Novembre 2008 - HTTP(S) Chargeurs, voleur d'informations Début : Alias : Communication : Composants : Début : Alias : Communication : Composants : Janvier 2009 - HTTP(S) Chargeurs, voleur d'informations, composants persistants Début : Alias : Communication : Composants : Janvier 2010 Tinybaron, BotgenStudios, NemesisGemina HTTP(S), FTP, WebDav Chargeurs, voleur d'informations, mécanisme d'élévation de privilèges, composants persistants Début : Alias : Communication : Composants : Juillet 2010 (chargeur), mai 2011 (backdoor) - HTTP(S), Twitter Téléchargeur, backdoor, chargeur Début : Alias : Communication : Composants : Janvier 2010 CozyBear, CozyCar, Cozer, EuroAPT HTTP(S), Twitter (sauvegarde) Injecteur, backdoor modulaire, composants persistants, module de collecte d'informations, module de capture d'écran, voleur de mots de passe, voleur de hachage du mot de passe Début : Alias : Communication : Composants : Février 2013 - HTTP(S), Twitter (sauvegarde) Injecteur, chargeur, composants clés modulaires, voleur d'informations, module DDoS, module de collecte d'informations, voleur de mots de passe, expéditeur de courrier indésirable sur les réseaux sociaux Début : Alias : Communication : Composants : Octobre 2014 SeaDaddy, SeaDask HTTP(S) Backdoor Début : Alias : Communication : Composants : Janvier 2015 HAMMERTOSS,Netduke HTTP(S), Twitter Backdoor Début : Alias : Communication : Composants : Juin 2015 MiniDionis, CloudLook HTTP(S), Microsoft OneDrive Téléchargeur, chargeur, deux variantes de backdoor Les Dukes sont connus pour leur vaste arsenal de malware que nous avons identifiés par les noms PinchDuke, GeminiDuke, CosmicDuke, MiniDuke, CozyDuke, OnionDuke, SeaDuke, HammerDuke et CloudDuke. Ces dernières années, le groupe s'est lancé dans de grandes campagnes semestrielles de harponnage visant des centaines, voire des milliers de destinataires liés à des institutions gouvernementales et entités connexes. THE DUKES: 7 YEARS OF RUSSIAN CYBERESPIONAGE https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf La recherche concernant les Dukes est publiée dans son intégralité sur le site web du Laboratoire F-Secure. LESOUTILS GEMINIDUKE COSMICDUKE MINIDUKE COZYDUKE ONIONDUKE SEADUKE HAMMERDUKE CLOUDDUKE PINCHDUKE
  12. 12. 23 04 CHAÎNEDECONTAMINATION 23 Un modèle axé sur les utilisateurs 24 Étape par étape 25 Principales menaces par étape 26 Njw0rm 27 CosmicDuke 28 Étapes 28 Inception 29 Intrusion 31 Infection 33 Invasion : Infiltration 34 Invasion : Infestation Faciles à retenir, les phases de la chaîne commencent toutes les quatre par « in » : zz Inception – Phase durant laquelle un système ou un appareil est exposé à une menace potentielle zz Intrusion – Phase durant laquelle le pirate parvient à accéder au système zz Infection – Phase durant laquelle le pirate réussit à installer du contenu malveillant sur le système attaqué zz Invasion – Phase durant laquelle le contenu malveillant continue de fonctionner après l'infection initiale, ce qui aggrave généralement les conséquences de l'attaque Des exemples sont donnés pour chacune de ces phases au fil des pages suivantes. Il convient cependant de rappeler que la chaîne de contamination est axée sur les utilisateurs. Par conséquent, les ressources correspondant à chaque phase dépendent de la façon dont les internautes sont attaqués. Prenons l'exemple particulièrement parlant de l'ingénierie sociale : les pirates peuvent employer cette tactique pendant l'inception et l'intrusion. En outre, les victimes doivent bien comprendre que leur contamination à un certain niveau de sécurité ne les met pas subitement en échec total. Cette notion s'avère particulièrement importante pour les administrateurs informatiques responsables de la sécurité de réseaux entiers. Toutes les sociétés, même les plus petites, doivent mettre en place des solutions afin d'éviter les attaques tout au long de la chaîne, et définir un plan pour empêcher les pirates de gagner du terrain et d'atteindre leurs objectifs. Sources répertoriées à la page 39. La chaîne de contamination est un modèle axé sur les utilisateurs qui illustre les combinaisons de tactiques et de ressources utilisées pour infecter leurs périphériques et leurs réseaux. Ce genre de modèle est aujourd'hui nécessaire, étant donné l'évolution de la typologie des menaces au cours de la dernière décennie. Fini le temps des pirates amateurs qui créaientdesvirusinformatiquesparsimplecuriosité.Lescyber attaquesmodernes,dynamiquesetperfectionnées,sontlefait decriminels,desaboteursetdepiratesmilitants,voired'États- nations, tous animés par des objectifs différents. Pour ne pas être en reste, les chercheurs en sécurité, les administrateurs informatiques et le grand public en général doivent mieux comprendre ce à quoi ils se trouvent confrontés. La chaîne de contamination met en évidence le perfectionnement des menaces actuelles, considérées comme des événements multiphases : chaque étape engendre des effets spécifiques, souvent combinés par les pirates en vue d'augmenter les dommages potentiels. D'autres modèles présentent les cyber attaques comme des événements multiphases dynamiques. C'est notamment le cas de la Cyber Kill Chain [1] de Lockheed Martin et du cycle de vie des exploitations de Mandiant [2] , bien connus des chercheurs en sécurité du monde entier. Si ces deux exemples décomposent la démarche des APT, le modèle de la chaîne de contamination, lui, est axé sur les utilisateurs afin de permettre aux particuliers comme aux entreprises de comprendre les menacesquiplanentsurleurspropressystèmes.Enexpliquant les différents niveaux de contamination qui accompagnent chaque phase, ce modèle vise à donner à ses destinataires, notamment aux administrateurs informatiques, de nouvelles clés pour prévoir, empêcher et intercepter les attaques avant qu'elles ne causent des violations de données ou d'autres coûteux incidents de sécurité. La chaîne de contamination comprend quatre grandes phases. Bien que les attaques et outils des pirates se limitent parfois à une seule, c'est rarement le cas à l'heure actuelle. En effet, les menaces modernes associent en général plusieurs phases afin de démultiplier les dégâts occasionnés. De plus, même si les pirates peuvent abandonner un certain type d'attaque ou de campagne, il vaut mieux que les particuliers et les entreprises préparent leur défense contre les menaces et composants multiphases afin de ne pas leur prêter le flanc. CHAÎNE DE CONTAMINATION Un modèle axé sur les utilisateurs 22
  13. 13. 2524 UN CODE MALVEILLANT S'EXÉCUTE DANS LE SYSTÈME DE LA VICTIME Les pirates peuvent installer (ou « injecter ») un contenu qui exécute en général un code ou logiciel malveillant produisant des effets indésirables. Ce contenu malveillant comprend des malware du type ransomware, bot, virus ou cheval de Troie. LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS Les pirates peuvent tirer parti des vulnérabilités des systèmes à l'aide d'un code spécial (exploit). Ils peuvent aussi piéger les internautes de sorte qu'ils leur donnent accès à leur ordinateur sans le savoir (ingénierie sociale). LES INTERNAUTES ET LEURS APPAREILS SONT EXPOSÉS AU PIRATAGE Navigation sur Internet, envoi d'e-mails, utilisation de lecteurs amovibles… autant d'activités normales au cours desquels les internautes peuvent, sans le savoir, s'exposer à des menaces. Par ailleurs, les pirates peuvent tenter, par la ruse ou par la force, de les placer en position de faiblesse, au moyen d'attaques techniques (redirecteurs et malware, par exemple) ou d'opérations d'ingénierie sociale (campagnes de hameçonnage, entre autres). LES PIRATES CHERCHENT À PROLONGER OU DÉMULTIPLIER LEURS DOMMAGES L'attaque persiste ou s'intensifie de façon à contaminer davantage sur le système touché ou les réseaux exposés. CHAÎNE DE CONTAMINATION Étape par étape INCEPTION INTRUSION INFECTION INVASION UN CODE MALVEILLANT S'EXÉCUTE DANS LE SYSTÈME DE LA VICTIME Ces menaces sont souvent injectées dans un système par le biais d'autres malware ou après contamination par un kit d'exploitation. INCEPTION INTRUSION INFECTION INVASION LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS Ces menaces (toutes de type exploit) offrent un accès direct au système des victimes en exploitant ses vulnérabilités ou les programmes qui y sont installés. Elles peuvent aussi permettre aux pirates d'en prendre le contrôle. LES INTERNAUTES ET LEURS APPAREILS SONT EXPOSÉS AU PIRATAGE Ces menaces ont essentiellement pour but de placer les victimes en position de faiblesse. Ainsi, les chevaux de Troie redirecteurs orientent les internautes vers des sites malveillants qui les exposent souvent à des kits d'exploitation. En général, les chevaux de Troie Macro, Autorun et « raccourcis » (sans oublier le ver Njw0rm) se dissimulent dans des fichiers en apparence inoffensifs pour que leurs cibles les enregistrent dans leur système, ce qui augmente la probabilité de leur exécution. LES PIRATES CHERCHENT À PROLONGER OU DÉMULTIPLIER LEURS DOMMAGES Une fois présentes dans un système, ces menaces sont capables de se démultiplier sur les autres machines appartenant au même réseau, renforçant ainsi les effets de la première infection. Certaines menaces, comme Gamarue ou Dorkbot, peuvent aussi contacter un serveur distant pour récupérer des instructions complémentaires des cyber criminels, susceptibles d'accroître l'impact de l'infection. Gamarue cheval de Troie WormLink exploit Nuclear kit d'exploitation Downadup ver (Conficker) Ippedo ver Trojan.LNK.Gen Sality bot Trojan: W32/ Autorun Ramnit bot Trojan: JS/ Redirector Worm: W32/ Kataja Trojan: W97M/ Malicious Macro Exploit: SWF/ Salama Njw0rm ver Dorkbot ver Dridex cheval de Troie-télé- chargeur CHAÎNE DE CONTAMINATION Principales menaces par étape Kilim cheval de Troie Exploit: Java/ Majava 24 25 Angler kit d’exploitation
  14. 14. 2726 NJW0RM Chaîne de contamination LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS Le ver Njw0rm peut s'introduire dans un système de deux façons : lors de téléchargements à la dérobée sur des sites web malveillants ou en misant sur la curiosité des internautes qu'il invite à ouvrir une pièce jointe malveillante ou un fichier sur un lecteur amovible infecté. LES INTERNAUTES ET LEURS APPAREILS SONT EXPOSÉS AU PIRATAGE Le ver Njw0rm se propage par le biais des lecteurs amovibles touchés, de sites web malveillants et d'e-mails conçus spécialement à l'attention de particuliers ou d'entreprises spécifiques (harponnage). LES PIRATES CHERCHENT À PROLONGER OU DÉMULTIPLIER LEURS DOMMAGES Le ver Njw0rm ouvre une backdoor dans le système, créant ainsi un point d'entrée pour une potentielle contamination ultérieure. Il fonctionne également comme un bot qui donne au pirate le contrôle à distance de l'ordinateur infecté. De plus, il est capable de voler des données de connexion en ligne, de se mettre à jour ou se désinstaller tout seul et de renseigner l'auteur de l'attaque sur le système touché. UN CODE MALVEILLANT S'EXÉCUTE DANS LE SYSTÈME DE LA VICTIME Une fois exécuté, le vers Njw0rm s'installe dans plusieurs dossiers système clés. De plus, il manipule le registre système de sorte qu'il soit automatiquement exécuté à chaque redémarrage. Il s'agit d'un ver VBS qui se propage par le biais de lecteurs amovibles, de pièces jointes à des e-mails ciblés à l'attention de particuliers ou d'entreprises et de téléchargements à la dérobée sur des sites web malveillants. Une fois introduit dans un système, il y exécute d'autres fichiers, vole des identifiants, mots de passe et informations sur les portails en ligne associés, se met à jour ou se désinstalle tout seul, et contacte un serveur de commande et contrôle (CC) pour obtenir des instructions complémentaires. De plus, il renseigne l'auteur de l'attaque sur le système touché, en lui communiquant les adresses IP visitées, des informations sur le système d'exploitation, etc. COSMICDUKE UN CODE MALVEILLANT S'EXÉCUTE DANS LE SYSTÈME DE LA VICTIME CosmicDuke infecte les systèmes avec un voleur d'informations doté de fonctions de keylogging, de capture d'écran et d'exportation de clés de déchiffrage, capable de voler des données de connexion des navigateurs et clients de messagerie électronique ou instantanée. LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS CosmicDuke s'insinue dans un système en exploitant ses vulnérabilités logicielles lorsque la victime ouvre ou affiche une pièce jointe malveillante, ou en comptant sur sa curiosité pour lui faire exécuter le code de la pièce jointe en question. LES INTERNAUTES ET LEURS APPAREILS SONT EXPOSÉS AU PIRATAGE Les internautes se trouvent initialement exposés à CosmicDuke via des campagnes de harponnage utilisant des pièces jointes malveillantes. LES PIRATES CHERCHENT À PROLONGER OU DÉMULTIPLIER LEURS DOMMAGES CosmicDuke exfiltre des données volées via les protocoles HTTP, HTTPS, FTP ou WebDav à l'aide de serveurs CC. Il s'agit notamment de données de connexion grâce auxquelles les pirates peuvent accéder aux systèmes touchés à distance, sans aucun malware supplémentaire ni outil spécial, et faire ainsi persister leur contamination bien au-delà du niveau d'infection initial. Chaîne de contamination CosmicDuke est le nom de l'un des outils utilisés par les Dukes, un groupe de cyber espionnage qui serait soutenu par l'État russe (voir « Présentation des Dukes », p. 20). Depuis 2008, les Dukes utilisent activement au moins neuf outils pour voler des informations dans le cadre de leurs opérations de renseignement. Les autorités gouvernementales, organes politiques et autres entités détenant des informations relatives aux politiques de sécurité et d'affaires étrangères de différents pays sont leurs cibles de prédilection. CosmicDuke repose sur un voleur d'informations. Les pirates peuvent décider de lui adjoindre individuellement plusieurs autres composants. CosmicDuke disposera alors de fonctions supplémentaires (par exemple, plusieurs méthodes de persistance) ainsi que de modules qui visent à exploiter les vulnérabilités permettant de l'exécuter avec une élévation de privilèges. INCEPTION INTRUSION INFECTION INVASION 26 27
  15. 15. 2928 INCEPTION L'inception est la première phase de la chaîne de contamination. Elle concerne tous les internautes, particuliers comme entreprises, exposés à des menaces en général ou à une seule menace précise. Il arrive souvent que les particuliers et les entreprises s'exposent à des menaces sans le savoir et les pirates anticipent désormais ce comportement. Toutefois, ces derniers sont nombreux à jouer un rôle plus actif afin de mettre leurs cibles potentielles en position de faiblesse au moyen d'attaques techniques (malware, par exemple) et/ou d'opérations d'ingénierie sociale (campagnes de hameçonnage, entre autres). Trojan:JS/Redirectorestunensembled'attaqueswebvisantàredirigerlesinternautesversunsiteweb non désiré à partir du site web qu'ils consultent ou souhaitent visiter. Dans certains cas, il arrive aux sites légitimes de rediriger leurs visiteurs : les pirates ont détourné cette technique afin de les orienter vers des pages malveillantes. En général, ils contaminent l'un de ces sites légitimes dans l'intention d'atteindre ceux qui le consultent. Trojan:JS/Redirector utilise des sites web non désirés qui partagent tout ou partie des caractéristiques suivantes : zz Contenu à caractère pornographique zz Injection de malware dans l'ordinateur de l'internaute zz Exfiltration de données stockées sur l'ordinateur de l'internaute zz Opération frauduleuse avec détournement du trafic Internet entrant Les redirecteurs constituent des moyens aussi courants qu'efficaces pour lancer une attaque, et les pirates s'en sont fréquemment servis en 2015 pour orienter le trafic Internet vers des kits d'exploitation. Trojan:JS/Redirector.FE a été le plus actif des redirecteurs observés en 2015. Il renvoyait les internautes vers des serveurs hébergeant des kits d'exploitation, notamment deux prépondérants : Angler et Neutrino. La plupart des attaques de Trojan:JS/Redirector.FE ont été détectées en Allemagne, suivie par la France, la Suède et les États-Unis. Trojan:JS/Redirector.FD (alias BizCN [1] ) s'est lui aussi montré actif en 2015. À l'origine, il renvoyait les internautes vers des serveurs hébergeant FiestaEK, avant de passer à NuclearEK et NeutrinoEK. Il a enregistré bien plus de détections aux États- Unis qu'ailleurs, mais s'est aussi révélé sensiblement présent au Royaume-Uni, en Finlande et au Canada. Trojan:SWF/Redirector.EW (alias EITest Flash Redirector [2] ) s'est aussi passablement illustré en 2015, plus particulièrement au printemps et à l'automne. Il semble avoir servi à lancer les campagnes AnglerEK qui ont sévi durant ces périodes. Là encore, les régions les plus touchées ont été l'Amérique du Nord (États-Unis) et l'Europe (Suède, Royaume-Uni et Pays- Bas). Pour rappel, bon nombre des sites web qui hébergent des redirecteurs ne sont pas eux-mêmes malveillants. Il s'agit simplement de sites légitimes que leurs failles intrinsèques laissent à la merci des pirates, ce qui en fait des victimes et non des criminels. Par exemple, il ressort qu'un grand nombre des sites web hébergeant Trojan:SWF/Redirector.EW ont été conçus avec WordPress. Il est tout à fait possible que les sites web touchés aient été précisément ciblés pour cette raison, ou bien parce qu'ils utilisaient un plug-in vulnérable. Toutefois, un faisceau de preuves semble indiquer que les pirates ont utilisé d'autres techniques, notamment des attaquesbrutalespourrécupérerlesmotsdepasseprotégeant lesdroitsd'accèsdeniveauadministrateurauxsiteswebciblés. Or, le chargement de scripts malveillants (des redirecteurs, par exemple) devient un jeu d'enfant pour les pirates lorsqu'ils disposent de ce genre d'accès. La prédominance des détections de Trojan:JS/Redirector en Amérique du Nord et en Europe correspond aux observations faisant état de la place prédominante des kits d'exploitation dans ces régions du monde. Les redirecteurs devraient donc être considérés comme de graves menaces visant les particuliers et les entreprises qui y sont installés. Les redirecteurs sèment la panique aux USA et dans l'UE Sources répertoriées à la page 39. PAYS LES PLUS TOUCHÉS POURCENTAGE DES DÉTECTIONS SIGNALÉES PAR PAYS TROJAN:JS/ REDIRECTOR.FE Allemagne France Suède États-Unis Autres 23 17 11 10 39 TROJAN:JS/ REDIRECTOR.FD États-Unis Royaume-Uni Canada Finlande Autres 58 10 8 8 17 TROJAN:SWF/ REDIRECTOR.EW Suède États-Unis Royaume-Uni Pays-Bas Autres 30 21 14 11 26 VULNÉRABILITÉS TOP 5 DES KITS D'EXPLOITATION Programme Réf. CVE Angler Neutrino Nuclear Magnitude Rig Flash Player CVE-2015-0310 Flash Player CVE-2015-0311 Flash Player CVE-2015-0313 Flash Player CVE-2015-0336 Flash Player CVE-2015-0359 Flash Player CVE-2015-3090 Flash Player CVE-2015-3105 Flash Player CVE-2015-3113 Flash Player CVE-2015-5119 Flash Player CVE-2015-5122 Silverlight CVE-2015-1671 Internet Explorer CVE-2015-2419 Flash Player CVE-2015-5560 Flash Player CVE-2015-7645 Flash Player CVE-2015-8446 L'intrusion est la phase de la chaîne de contamination qui marque le début de l'attaque proprement dite. Les particuliers et les entreprises qui s'exposent à des menaces fournissent aux pirates l'occasion de s'immiscer dans leurs systèmes. Les techniques d'ingénierie sociale visent à piéger les internautes de sorte qu'ils permettent aux pirates d'accéder à leur ordinateur. Pourtant, la ressource la plus plébiscitée en matière d'intrusion est l'exploit. Ce type de menace permet aux pirates de tirer parti des vulnérabilités logicielles afin d'obtenir un certain niveau d'accès, voire de contrôle, sur les systèmes exposés. menaces en Suède, aux États-Unis, au Royaume-Uni et en Australie. Angler s'est montré capable de prendre en charge les vulnérabilités Flash plus vite et plus souvent que les autres kits d'exploitationprépondérants.Lepiratagedelasociétéitalienne Hacking Team, spécialisée en logiciels de surveillance, illustre la redoutable efficacité de ce type de menace, surtout Angler, pour exploiter de nouvelles failles. Incident Hacking Team Durant la première semaine de juillet 2015, un volume considérable de données détenues par Hacking Team a été rendu public. Il contenait notamment deux vulnérabilités Flash Zero Day. La première, CVE-2015-5119, a été utilisée le jour même de l'incident par trois kits d'exploitation (Angler, Neutrino et Nuclear). Deux autres l'ont reprise dans les deux jours suivants, bien qu'Adobe ait fourni un correctif le lendemain de la publication des données [1] . La seconde, CVE-2015-5122, a été adoptée par AnglerEK le lendemain de sa découverte parmi les données de Hacking Team [2] . NeutrinoEK l'a reprise le jour suivant. Deux jours plus tard, les créateurs de NuclearEK et RigEK ont également intégré à leurs kits des exploits ciblant cette vulnérabilité. Le tout avant qu'Adobe ait pu élaborer et déployer un correctif. Les exploits sont des bouts de code conçu pour tirer parti des vulnérabilités logicielles des ordinateurs et représentent une ressource prépondérante des pirates à l'heure actuelle. Leur réussite dépend de leur découverte d'une vulnérabilité logicielle dans les systèmes ciblés. Les exploits se trouvent souvent groupés dans un kit d'exploitation, qui a pour but de scanner les logiciels installés sur les appareils touchés à la recherche de vulnérabilités non corrigées afin d'employer l'exploit le plus pertinent. Il ne reste alors plus au kit qu'à exploiter cette faille de sécurité de façon à injecter du contenu malveillant, sous forme de ransomware par exemple. Dans la lignée des observations de 2014, les kits d'exploitation ciblant les vulnérabilités Flash ont de nouveau affiché une présence prépondérante en 2015. S'il existait en 2013 des kits d'exploitation visant plusieurs vulnérabilités Java, leurs créateurs se sont maintenant tournés vers Flash. AnglerEK,leplusactifetleplusefficaceenmatièred'intégration d'exploits destinés aux vulnérabilités Flash, a été remarqué dans un certain nombre de campagnes tout au long de l'année dernière. Ses créateurs l'ont en effet doté d'une prise en charge des vulnérabilités Flash plus souvent que les auteurs des autres principaux kits d'exploitation. En 2015, AnglerEK a été fréquemment détecté dans plusieurs pays différents, au point de se hisser à la première place du classement des INTRUSION AnglerEK domine Flash VULNÉRABILITÉS LES PLUS UTILISÉES PAR LE TOP 5 DES KITS D'EXPLOITATION EN 2015 Angler a été le kit d'exploitation le plus actif et le plus efficace en matière d'intégration d'exploits à son arsenal.
  16. 16. 3130 Public Vulnérabilité rendue publique Corrigé Correctif émis par le fournisseur Exploit ajouté au kit d'exploitation FRISE DE L'AJOUT DES PRINCIPAUX EXPLOITS AUX KITS D'EXPLOITATION Public MAI JUIN JUIL AOU CVE-2015-1671 MS15-065 Silverlight CVE-2015-2419 MS15-044 Internet Explorer Public Angler Magnitude Angler Magnitude Nuclear Public Public Corrigé 6 127 8 9 Corrigé 10 11 13 14 RigMagnitude Angler Neutrino Nuclear Rig Magnitude MOIS JOURS *Vulnérabilités Flash Player révélées lors du piratage de Hacking Team Angler Nuclear Neutrino Neutrino Flash étant utilisé sur plusieurs plateformes, ses failles constituent des cibles de choix pour les développeurs de kits d'exploitation. D'ailleurs, ils sont bien plus nombreux et réactifs quand il s'agit de créer des exploits visant les vulnérabilités Flash que lorsqu'il est question de s'adapter aux failles d'autres programmes. Ainsi, les créateurs d'Angler et de Magnitude ont mis deux mois à exploiter la vulnérabilité Silverlight CVE-2015-1671 révélée en mai. De la même façon, les cinq principaux kits d'exploitation n'ont pas pris en charge la vulnérabilité Internet Explorer révélée à la mi-juillet avant le mois d'août. AnglerEK a été assez souvent détecté en 2015 pour compter parmi les formes d'intrusion les plus couramment rencontrées par les particuliers et les entreprises. CVE-2015-5119* CVE-2015-5122* En avril dernier, l'organisme américain chargé de la sécurité informatique (US-CERT – United States Computer Emergency Readiness Team) a publié une alerte concernant l'utilisation de logiciels non corrigés dans les entreprises. Selon ses informations, 85 % des attaques ciblées pourraient être évitées et les entreprises devraient plus rapidement corriger et mettre à jour leurs logiciels afin de donner moindre prise aux pirates [3] . Cependant, cette alerte n'a toujours pas produit l'effet escompté. D'après certaines recherches, un quart des versions de WordPress actuellement utilisées en Finlande contiendraient des vulnérabilités exploitables. De plus, les donnéeshistoriquesportentàcroirequelasituations'aggrave. Ainsi, une enquête similaire conduite en 2014 avait conclu que 24 % des versions de WordPress étaient vulnérables, un chiffre en hausse à 26 % en 2015. Lesfailleslogiciellessontlaraisond'êtredumarchédesexploits, qui fait florès en tirant parti de l'utilisation constante de logiciels obsolètes ou non corrigés. Cette situation génère en effet une demande pour les exploits adaptés à ces vulnérabilités, ce qui stimule à son tour l'offre des créateurs. Le fait que WordPress ait vu son taux d'utilisation doubler en Finlande entre 2014 et 2015 devrait être considéré comme un indicateur du potentiel de croissance dont jouit le marché des exploits WordPress. UTILISATION DE WORDPRESS EN FINLANDE WordPress dans la tourmente en Finlande 25 000 15 000 5 000 0 2014 2015 Vulnérable Mis à jour Sources répertoriées à la page 39. Les infections par malware sont la bête noire des particuliers comme des entreprises, car elles déterminent l'impact de l'attaque sur les internautes. En effet, dès qu'un pirate peut accéder à un système, il est libre d'y insérer un ou plusieurs fichiers malveillants produisant des effets indésirables. Selon les caractéristiques de l'attaque, les malware entraînent des violations et autres incidents de sécurité, dont des violations de données, la perte de contrôle sur les informations ou sur l'infrastructure critique et la dégradation des performances système. En 2015, le contenu malveillant employé a pris la forme de chevaux de Troie bancaires (Dridex), de botnet (Ramnit ou Sality), de voleurs d'informations (Fareit) ainsi que de diverses familles de ransomware. Les ransomware ont eu la faveur des kits d'exploitation les plus souvent détectés en 2015 et sont devenus des outils efficaces pour extorquer aussi bien les particuliers que les entreprises. Ces familles de menaces sont conçues pour soutirer de l'argent à leurs victimes en verrouillant leurs périphériques et leurs données jusqu'à ce qu'elles versent une rançon (« ransom », en anglais). L'approche adoptée pour bloquer l'accès aux systèmes varie selon les familles. En revanche, elles ne se divisent qu'en deux groupes : les ransomware «  Gendarmerie  » et les crypto-ransomware. Les premiers bloquent tout accès aux périphériques et aux données en se faisant passer pour des représentants de la force publique informant l'internaute qu'il a violé une quelconque loi et doit payer une amende pour retrouver l'usage de son système infecté. Les seconds chiffrent le contenu des périphériques afin d'empêcher la victime de s'en servir jusqu'à ce qu'elle paie une rançon pour obtenir la clé de déchiffrage correspondante. Bien que le nombre de ransomware «  Gendarmerie  » ait diminué en 2015, plusieurs familles de crypto-ransomware ont fait des adeptes, d'où la présence globalement stable de ce type de menace. La famille de ransomware « Gendarmerie » Browlock a perdu du terrain par rapport à 2014, mais elle s'est suffisamment illustrée début 2015 pour enregistrer davantage de détections que toutes les autres familles sur l'année entière. À l'inverse, plusieurs variantes de crypto-ransomware sont montées en puissance au fil des mois. Ainsi, CryptoWall a pris assez d'importance en 2015 pour éclipser plusieurs familles de ransomware « Gendarmerie » régnantes en 2014, au point de devenir la famille de crypto-ransomware la plus active pendant la majeure partie de l'année. Deux autres familles, Crowti et Teslacrypt, se sont montrées plus actives au dernier trimestre, gagnant au passage une plus grande place parmi les menaces observées. Dans l'ensemble, davantage de familles de crypto-ransomware ont été plus actives en 2015 qu'en 2014. KITS D'EXPLOITATION Angler Nuclear Magnitude Fiesta Alpha Crypt CryptoWall CryptoWall CryptoWall CryptoWall CTB-Locker Reveton TeslaCrypt TeslaCrypt Troldesh CONTENU DE RANSOMWARE DIFFUSÉ PAR LES PRINCIPAUX KITS D'EXPLOITATION DÉTECTIONS DE RANSOMWARE DE 2014 À 2015 Browlock CTB-Locker Reveton Urausy CryptoWall Crowti TeslaCrypt 2014 2015 POURCENTAGE DU TOTAL ANNUEL DES DÉTECTIONS DE MALWARE SIGNALÉES 0,4 0,1 0,006 0,003 0,001 0,001 0,001 0,01 0,02 0,06 0,0002 CONTENU MALVEILLANT L'infection est la phase de la chaîne de contamination au cours de laquelle le contenu injectéexécuteuncodemalveillant.Unefoisqu'unsystèmeesttouché,lespiratessont libres d'y installer (ou « injecter ») un contenu qui exécute en général une espèce de code malveillant produisant des effets indésirables. Ce contenu malveillant comprend des malware du type ransomware, bot, virus ou cheval de Troie. INFECTION L'ascensiondescrypto-ransomware Flash étant utilisé sur plusieurs plateformes, ses vulnérabilités constituent des cibles de choix pour les développeurs de kits d'exploitation Bien que le nombre de ransomware « Gendarmerie » ait diminué en 2015, plusieurs familles de crypto-ransomware ont fait des adeptes, d'où la présence globalement stable de ce type de menace.
  17. 17. 3332 45+20+9+6+3+17+D 33+17+16+13+12+9+D Si les piratages DNS prennent diverses formes selon leur cible (par exemple, celui d'une grande société est différent de celui d'un particulier ou d'une microentreprise), ils affichent tous le même but : altérer la configuration des systèmes de noms de domaine (DNS – Domain Name System) chez leurs victimes afin de surveiller ou détourner le trafic Internet. Ce type d'attaque est facilité par plusieurs failles de sécurité, notamment la faiblesse des mots de passe, les vulnérabilités logicielles et les malware. Les piratages DNS s'avèrent efficaces pour attaquer en masse les cibles potentielles puisqu'ils permettent de contaminer tous les périphériques connectés à un réseau. Cette menace, fréquente à l'heure actuelle, a enregistré un pic d'activité significatif au printemps et à l'été 2015, plus précisément d'avril à août. Les attaques menées durant cette période ont modifié la configuration DNS par défaut de leurs cibles en vue de détourner le trafic Internet. Les piratages DNS observés en 2015 étaient concentrés en Italie et en Pologne, et dans une moindre mesure en Égypte, en Suède et en Inde. Leurs auteurs ont le plus souvent redirigé le trafic Internet vers des adresses IP malveillantes qui injectaient le malware Kelihos dans les périphériques infectés. Kelihos est un botnet prépondérant qui sert à envoyer du courrier indésirable et lancer des attaques DDoS. Il est également capable de voler des informations, dont des données de connexion. Les chevaux de Troie Fareit, Pkybot et Zbot ainsi que le malware Asprox – lié au botnet du même nom – formaient également une grande partie des autres types de contenu malveillant diffusé lors des piratages DNS en 2015. L'altération des paramètres DNS n'était que la fin justifiant les moyens : comme de nombreuses attaques modernes, les piratages DNS ne sont pas cantonnés à une seule phase de la chaîne de contamination. Dans quasiment la moitié (48 %) des cas détectés, ils ont en effet servi à instaurer des botnets. Par ailleurs, Pkybot et Fareit agissent à la fois comme des voleurs d'informations et comme des téléchargeurs, qui injectent du contenu malveillant supplémentaire après l'infection initiale. Ainsi, dans une écrasante majorité des cas (77 %), les pirates ont tenté d'obtenir un accès persistant aux systèmes touchés afin de pouvoir s'y immiscer davantage pour déclencher de nouvelles infections ou instaurer une contamination permanente. Par conséquent, les internautes devraient considérer les piratages DNS comme de possibles menaces persistantes pour leurs appareils et leurs réseaux, que les cyber criminels peuvent utiliser longtemps à diverses fins. AUTRES 33 ITALIE 17 POLOGNE 16 SUÈDE 12 ÉGYPTE 13 INDE 9 PRINCIPAUX PAYS TOUCHÉS (%) AUTRES 17 KELIHOS 45 FAREIT 20 PKYBOT 9 ZBOT 6 ASPROX 3 PRINCIPALES MENACES AVEC ROUTEURS DNS PIRATÉS (%) L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou son réseau. La méthode d'intensification employée dépend des caractéristiques de l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation. Avec l'approche «  infiltration  », les pirates peuvent s'immiscer davantage dans le système touché, ce qui leur permet de planifier d'autres attaques ou de prolonger les effets de la première en provoquant une contamination persistante. INVASION : INFILTRATION Piratage DNS en 2015 : des bots, des téléchargeurs et des voleurs d'informations 0 5 10 15 20 25 30 DECJUNJAN INFECTIONS PAR PIRATAGE DNS (2015) % MOIS 30 25 20 15 10 5 0 JANV JUIN DÉC Les piratages DNS ont enregistré un pic d'activité d'avril à août 2015. Des chercheurs ont déjà remarqué que les campagnes de crypto-ransomware disposent d'une infrastructure qui incite leurs cibles à verser la rançon et leur fournit ensuite automatiquement les clés de déchiffrage nécessaires [1] . De leur côté, les auteurs de campagnes de ransomware « Gendarmerie » tendent à se contenter de toucher la rançon sansaiderlesinternautesàsedébarrasserdeleursinfections[2] . Étantdonnéquelesauteursd'attaquesparcrypto-ransomware aident souvent leurs victimes pour s'assurer qu'elles les paieront, et que le montant demandé est relativement raisonnable, le FBI recommande aux entreprises touchées de verser tout simplement la rançon [3] . En 2015, plusieurs services de police américains ont suivi ce conseil et payé chacun des centaines de dollars à des extorqueurs en ligne afin de libérer leurs systèmes de l'emprise de ransomware  [4] . Ce genre d'exemple souligne aussi bien l'efficacité des ransomware en tant qu'outils d'extorsion que l'importance de contrer les attaques en amont de la phase d'infection. POURCENTAGEDUTOTALDESDÉTECTIONSDE MALWARESIGNALÉES(2015) JANV FÉV OCTSEPAOUJUILJUINMAIAVRMARS NOV DEC PRINCIPALES DÉTECTIONS DE RANSOMWARE EN 2015 Janv 2015 Browlock : 0,103 % Crowti CryptoWall Urausy Reveton TeslaCrypt CTB-Locker 0,002 0,004 0,006 0,008 0,010 0,012 0,014 0,016 0,018 Sources répertoriées à la page 39. CryptoWall a été la famille de ransomware la plus souvent détectée sur la majorité de l'année 2015. MOIS (2015) AFFICHAGE DE DEMANDES DE RANÇON Demandes de rançons affichées par le ransomware « Gendarmerie » Browlock (à gauche) et le crypto-ransomware CryptoWall (à droite)
  18. 18. 3534 En 2015, Downadup s'est maintenu au rang de type de malware le plus fréquemment détecté. Ce ver, découvert en 2008, est aujourd'hui reconnu comme l'une des infections informatiques les plus répandues. Downadup s'en prend aux systèmes Windows non corrigés (dont plusieurs versions de Windows Server), d'où il se propage aux réseaux vulnérables connexes. Depuis ses débuts en 2008, Downadup a infecté des millions d'ordinateurs et causé des perturbations considérables pendant que les entreprises ciblées s'efforçaient de le combattre [1] . À un moment, Microsoft offrait une récompense de 250 000 dollars (soit plus de 220 000 euros) pour toute information conduisant à la condamnation de ses créateurs [2] . Combinant différentes tactiques, Downadup se révélait plus perfectionné que tous les autres vers informatiques connus des chercheurs à l'époque, d'où son inclusion parmi les familles de malware les plus invasives jamais recensées. Downadup reste une famille de malware prépondérante à ce jour. C'est d'ailleurs la plus fréquemment détectée en Allemagne, en Finlande, en France, en Inde, en Italie et en Norvège. Bien qu'il existe de nombreux antivirus capables de repérer et d'éradiquer ce ver chez les particuliers, il demeure compliqué de le supprimer de réseaux plus étendus tels que ceux des opérateurs de télécommunications ou des multinationales. L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou son réseau. La méthode d'intensification employée dépend des caractéristiques de l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation. L'infestation est ce qui se passe lorsqu'une attaque parvient à se propager au-delà d'un périphérique ou système touché, s'étendant à tout un réseau. INVASION : INFESTATION Downadup pourrait-il se refaire une santé grâce à l'Internet des objets ? Sans compter que, bien qu'il ne soit plus tout jeune, Downadup a trouvé de nouveaux supports de propagation. Ainsi, il a été repéré en novembre 2015 dans plusieurs caméras portatives fabriquées spécialement pour des forces de police américaines  [3] . De nombreux appareils relevant de l'Internet des objets (IdO), dont les caméras portatives, sont incompatibles avec les antivirus traditionnels. Si ces périphériques non sécurisés prolifèrent, il est donc tout à fait possible que des menaces du genre de Downadup connaissent un regain d'activité. ? Les malware continuent à se démocratiser et les plateformes de malware-as- a-service, de mieux en mieux organisées, ne cessent de se perfectionner. Il est facile d'acheter en ligne des campagnes clé en main personnalisées. Une fois qu'elles sont lancées, des botnets distribuent du courrier indésirable qui déclenche des infections. Le contenu malveillant injecté communique alors les informations recueillies à une infrastructure dorsale gérée qui fait partie intégrante du service fourni. Nous avons même observé la réalisation de tests bêta avant le lancement effectif d'une campagne. Bien qu'elles aient essentiellement pour objet de générer des gains financiers, ces campagnes de malware-as-a-service servent parfois à d'autres fins malveillantes telles que voler des données ou vouer des internautes à la honte publique. En comparaison des coûts qu'elle occasionne pour chacun des particuliers et entreprises concernés, une campagne de malware s'avère incroyablement économique. Nous constatons toujours une montée en flèche des ransomware, une tendancequidevraitsepoursuivretoutaulongdel'année2016.Nonseulement les campagnes de ransomware gagnent en structure et en perfectionnement, mais les malware eux-mêmes se font plus retors. Les crypto-ransomware comptent parmi les logiciels les plus destructeurs repérés des derniers temps. Leur méthode consiste à chiffrer en bloc les fichiers stockés sur une machine, en donnant pour seul recours à la victime de payer ses assaillants pour obtenir une clé de déchiffrage. Récemment, ce type de malware est devenu le cauchemar des entreprises en parvenant à chiffrer des fichiers partagés sur des réseaux non assignés. Le montant de la rançon exigée peut dépasser 400 dollars (soit plus de 350 euros) par système infecté. Nous nous attendons à ce que les APT renforcent encore leur présence en 2016. Les groupes organisés (par exemple, des États-nations, pirates militants, prestataires de services de sabotage et d'espionnage industriel et autres cyber criminels) s'intéressent aux sociétés et aux organes gouvernementaux dans le but de générer des gains financiers, voler leurs données, perturber leurs activités et ternir leur réputation. À l'inverse des criminalware, qui s'en prennent sans distinction à tous les systèmes à leur portée, les APT sont très ciblées et difficiles à détecter avec les moyens traditionnels. Pour contrer de telles menaces, il faut une stratégie de cyber sécurité nettement plus développée. LesransomwareetlesAPTseretrouventàlaunedel'actualitéquasimenttoutes les semaines, dans des articles qui s'étendent désormais à d'autres supports quelesseulssitesspécialisés.Àl'heureoùlesconsciencess'éveillentàlaréalité de la cyber criminalité et de la cyber guerre, les autorités gouvernementales se hâtentderédigerdenouvellesréglementationsquifournirontassurémentdes lignes directrices aux entreprises. L'année à venir s'annonce par ailleurs riche en débats publics autour du chiffrement et de l'accès aux données à caractère personnel, deux sujets concernant tous les propriétaires d'ordinateurs et de smartphones. Pour couronner le tout, l'Internet des objets continuera à s'étendre et pourrait bien peser dans les débats ouverts en matière de cyber sécurité. ANDY PATEL Technology Outreach @r0zetta CONCLUSION « À L'HEURE OÙ LES CONSCIENCES S'ÉVEILLENT À LA RÉALITÉ DE LA CYBER CRIMINALITÉ ET DE LA CYBER GUERRE, LES AUTORITÉS GOUVERNE­ MENTALES SE HÂTENT […] »

×