Se connecter
Inscription
Mot de passe perdu
Spy Wars: comment des cyber-groupes soutenus par des États se volent et se copient les uns les autres
Publié le 05/10/2017 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, le 5 octobre 2017 – Des groupes avancés de cybercriminels piratent d’autres groupes afin de voler les données de victimes, d’« emprunter » des outils et des techniques et d’utiliser l’infrastructure les uns des autres, ce qui rend la tâche sans cesse plus difficile aux chercheurs en sécurité pour obtenir des renseignements précis sur les menaces, selon la Global Research and Analysis Team (GReAT) de Kaspersky Lab.
Les informations précises sur des menaces numériques reposent sur l’identification de modèles et d’instruments caractérisant un groupe déterminé de cybercriminels. Ce genre de connaissances permet aux chercheurs de répertorier des objectifs visés, des buts et des comportements de différents attaquants et d’aider des organisations à déterminer leur niveau de risque. Toutefois, il ne reste pas grand-chose de ce système si des cyber-groupes commencent à se pirater les uns les autres et à s’emprunter outils, infrastructure et mêmes victimes
Kaspersky Lab juge probable que les attaques de ce genre sont principalement réalisées par des groupes qui sont soutenus par certains pays et visent des attaquants étrangers ou moins compétents. Il importe que les chercheurs en sécurité informatique apprennent à reconnaître et à interpréter les signaux de ces attaques, pour qu’ils puissent présenter leurs constatations dans le contexte adéquat.
Dans un rapport détaillant les risques de semblables attaques, les chercheurs de la GReAT distinguent deux approches importantes : la passive et l’active. Lors d’attaques passives, les données d’autres groupes sont interceptées tandis qu’elles sont « en transit » – par exemple des victimes vers les serveurs de commande et de contrôle – et ne peuvent pratiquement pas être détectées. L’approche active implique l’infiltration de l’infrastructure d’un autre cyber-groupe.
L’approche active offre une plus grande chance de détection, mais donne aussi à l’attaquant la chance d’extraire fréquemment des informations, de surveiller l’autre cyber-groupe et ses victimes, voire d’imputer à l’autre cyber-groupe ses propres implants et attaques. Le succès des attaques actives repose énormément sur des erreurs dans la sécurité opérationnelle de la cible. Au cours de l’enquête sur des cyber-groupes spécifiques, la GReAT a rencontré plusieurs artefacts étonnants qui suggèrent que des attaques actives de ce genre ont déjà lieu « dans la nature ».
Quelques exemples :
1. Des backdoors qui sont mis en place dans l’infrastructure de commande et de contrôle (C&C) d’une autre entité
En installant un « backdoor » dans un réseau piraté, des attaquants peuvent se nicher solidement dans les opérations d’un autre groupe. Les enquêteurs de Kaspersky Lab ont découvert deux cas impliquant ce genre de backdoors.
Le premier a été découvert en 2013, pendant l’analyse d’un serveur de NetTraveler, une campagne en chinois qui visait des activistes et des organisations en Asie. Le second a été mis au jour en 2014, pendant l’examen d’un site Web piraté par Crouching Yeti (également connu comme Energetic Bear), un acteur de menace qui utilise la langue russe et est actif depuis 2010. Les enquêteurs ont découvert que le groupe qui gérait le réseau avait été doté brièvement d’un tag qui renvoyait à une adresse IP externe en Chine (probablement une fausse bannière). Les chercheurs supposent qu’il s’agissait aussi d’un backdoor d’un autre groupe, bien qu’aucun indice n’ait été trouvé pour identifier ce groupe.
2. Partage de sites Web piratés
En 2016, les chercheurs de Kaspersky Lab ont découvert qu’un site Web contaminé par DarkHotel (qui parle coréen) renfermait également des scripts d’exploit de ScarCruft, un groupe qui s’est attaqué principalement à des organisations russes, chinoises et sud-coréennes. L’opération DarkHotel a débuté en avril 2016, alors que les attaques ScarCruftont été mises en œuvre un mois plus tard. Cela suggère que ScarCruft a observé les attaques DarkHotel avant d’entamer ses propres activités.
3. Targeting-by-proxy
En infiltrant un groupe qui s’est déjà implanté dans une région ou un secteur d’activité spécifique, et en profitant ainsi de l’expertise spécialisée de ce groupe, un attaquant peut réduire les coûts et accroître son efficacité.
Certains cyber-groupes préfèrent partager que voler. Cette approche peut s’avérer risquée si l’un des groupes est moins avancé et se fait attraper, étant donné que, dans ce cas-là, l’analyse criminalistique inévitable dévoilera également les autres attaquants. En novembre 2014, Kaspersky Lab a signalé qu’un serveur d’une institution de recherche au Moyen-Orient, qui s’est fait connaître comme le Magnet of Threats, abritait dans le même temps des implants des acteurs de menace très avancés Regin et Equation Group (anglophones), Turla et ItaDuke (russophones), Animal Farm (francophone) et Careto (hispanophone). Ce serveur s’est avéré être le point de départ de la découverte d’Equation Group.
"Il est toujours difficile de détecter des menaces, parce que les indices utilisables sont minces et peuvent en outre être manipulés, mais nous devons à présent tenir compte également de cyber-attaquants qui brouillent vraiment les pistes”, indique Juan Andres Guerrero-Saade, Principal Security Researcher, Global Research and Analysis Team, Kaspersky Lab. “Si des groupes utilisent les outils, les victimes et les infrastructures les uns des autres, et s’échangent leurs identités lors de la réalisation de leurs actions, comment nos enquêteurs peuvent-ils encore parvenir à les identifier de manière précise ? Nous pouvons constater que ce type d’activités est d’ores et déjà une réalité, ce qui suppose que les enquêteurs doivent rester en phase, afin d’adapter leur façon de penser à celle de ces cyber-groupes avancés.”
Pour suivre le rythme du paysage en évolution rapide de la menace, Kaspersky Lab conseille la mise en œuvre d’une plateforme de sécurité complète, en combinaison avec les données de menace les plus récentes. Le portefeuille de sécurité professionnelle de Kaspersky Lab assure une protection optimale avec sa nouvelle génération de logiciel de sécurité pour terminaux, la détection sur la base de la plateforme Kaspersky Anti Targeted Attack et une réaction aux prévisions et incidents via les services de renseignements sur les menaces.
Le document intitulé Walking in your enemy’s shadow: when fourth-party collection becomes attribution hell comprend des informations détaillées sur les manières dont des groupes de cyber-attaquants adoptent et réutilisent des éléments d’autres groupes – comme la réutilisation d’outils et le regroupement de maliciels – ainsi que les conséquences de ces pratiques pour les renseignements en matière de menace.
Les informations précises sur des menaces numériques reposent sur l’identification de modèles et d’instruments caractérisant un groupe déterminé de cybercriminels. Ce genre de connaissances permet aux chercheurs de répertorier des objectifs visés, des buts et des comportements de différents attaquants et d’aider des organisations à déterminer leur niveau de risque. Toutefois, il ne reste pas grand-chose de ce système si des cyber-groupes commencent à se pirater les uns les autres et à s’emprunter outils, infrastructure et mêmes victimes
Kaspersky Lab juge probable que les attaques de ce genre sont principalement réalisées par des groupes qui sont soutenus par certains pays et visent des attaquants étrangers ou moins compétents. Il importe que les chercheurs en sécurité informatique apprennent à reconnaître et à interpréter les signaux de ces attaques, pour qu’ils puissent présenter leurs constatations dans le contexte adéquat.
Dans un rapport détaillant les risques de semblables attaques, les chercheurs de la GReAT distinguent deux approches importantes : la passive et l’active. Lors d’attaques passives, les données d’autres groupes sont interceptées tandis qu’elles sont « en transit » – par exemple des victimes vers les serveurs de commande et de contrôle – et ne peuvent pratiquement pas être détectées. L’approche active implique l’infiltration de l’infrastructure d’un autre cyber-groupe.
L’approche active offre une plus grande chance de détection, mais donne aussi à l’attaquant la chance d’extraire fréquemment des informations, de surveiller l’autre cyber-groupe et ses victimes, voire d’imputer à l’autre cyber-groupe ses propres implants et attaques. Le succès des attaques actives repose énormément sur des erreurs dans la sécurité opérationnelle de la cible. Au cours de l’enquête sur des cyber-groupes spécifiques, la GReAT a rencontré plusieurs artefacts étonnants qui suggèrent que des attaques actives de ce genre ont déjà lieu « dans la nature ».
Quelques exemples :
1. Des backdoors qui sont mis en place dans l’infrastructure de commande et de contrôle (C&C) d’une autre entité
En installant un « backdoor » dans un réseau piraté, des attaquants peuvent se nicher solidement dans les opérations d’un autre groupe. Les enquêteurs de Kaspersky Lab ont découvert deux cas impliquant ce genre de backdoors.
Le premier a été découvert en 2013, pendant l’analyse d’un serveur de NetTraveler, une campagne en chinois qui visait des activistes et des organisations en Asie. Le second a été mis au jour en 2014, pendant l’examen d’un site Web piraté par Crouching Yeti (également connu comme Energetic Bear), un acteur de menace qui utilise la langue russe et est actif depuis 2010. Les enquêteurs ont découvert que le groupe qui gérait le réseau avait été doté brièvement d’un tag qui renvoyait à une adresse IP externe en Chine (probablement une fausse bannière). Les chercheurs supposent qu’il s’agissait aussi d’un backdoor d’un autre groupe, bien qu’aucun indice n’ait été trouvé pour identifier ce groupe.
2. Partage de sites Web piratés
En 2016, les chercheurs de Kaspersky Lab ont découvert qu’un site Web contaminé par DarkHotel (qui parle coréen) renfermait également des scripts d’exploit de ScarCruft, un groupe qui s’est attaqué principalement à des organisations russes, chinoises et sud-coréennes. L’opération DarkHotel a débuté en avril 2016, alors que les attaques ScarCruftont été mises en œuvre un mois plus tard. Cela suggère que ScarCruft a observé les attaques DarkHotel avant d’entamer ses propres activités.
3. Targeting-by-proxy
En infiltrant un groupe qui s’est déjà implanté dans une région ou un secteur d’activité spécifique, et en profitant ainsi de l’expertise spécialisée de ce groupe, un attaquant peut réduire les coûts et accroître son efficacité.
Certains cyber-groupes préfèrent partager que voler. Cette approche peut s’avérer risquée si l’un des groupes est moins avancé et se fait attraper, étant donné que, dans ce cas-là, l’analyse criminalistique inévitable dévoilera également les autres attaquants. En novembre 2014, Kaspersky Lab a signalé qu’un serveur d’une institution de recherche au Moyen-Orient, qui s’est fait connaître comme le Magnet of Threats, abritait dans le même temps des implants des acteurs de menace très avancés Regin et Equation Group (anglophones), Turla et ItaDuke (russophones), Animal Farm (francophone) et Careto (hispanophone). Ce serveur s’est avéré être le point de départ de la découverte d’Equation Group.
"Il est toujours difficile de détecter des menaces, parce que les indices utilisables sont minces et peuvent en outre être manipulés, mais nous devons à présent tenir compte également de cyber-attaquants qui brouillent vraiment les pistes”, indique Juan Andres Guerrero-Saade, Principal Security Researcher, Global Research and Analysis Team, Kaspersky Lab. “Si des groupes utilisent les outils, les victimes et les infrastructures les uns des autres, et s’échangent leurs identités lors de la réalisation de leurs actions, comment nos enquêteurs peuvent-ils encore parvenir à les identifier de manière précise ? Nous pouvons constater que ce type d’activités est d’ores et déjà une réalité, ce qui suppose que les enquêteurs doivent rester en phase, afin d’adapter leur façon de penser à celle de ces cyber-groupes avancés.”
Pour suivre le rythme du paysage en évolution rapide de la menace, Kaspersky Lab conseille la mise en œuvre d’une plateforme de sécurité complète, en combinaison avec les données de menace les plus récentes. Le portefeuille de sécurité professionnelle de Kaspersky Lab assure une protection optimale avec sa nouvelle génération de logiciel de sécurité pour terminaux, la détection sur la base de la plateforme Kaspersky Anti Targeted Attack et une réaction aux prévisions et incidents via les services de renseignements sur les menaces.
Le document intitulé Walking in your enemy’s shadow: when fourth-party collection becomes attribution hell comprend des informations détaillées sur les manières dont des groupes de cyber-attaquants adoptent et réutilisent des éléments d’autres groupes – comme la réutilisation d’outils et le regroupement de maliciels – ainsi que les conséquences de ces pratiques pour les renseignements en matière de menace.
Plus d'articles dans cette catégorie
24/04/2024 @ 16:21:26
Poster un commentaire
Jeux Vidéos
Tablettes
Google
