Trend Micro - Securing Your Journey to the Cloud

one site fits all

Le raz-de-marée des nouveaux piratages dévaste les technologies publiques

À en croire les événements du trimestre précédent, il est fort probable qu'une nouvelle vague de menaces s'abatte sur les internautes, à un niveau supérieur. Les pirates trouvent davantage de failles de sécurité à exploiter, dans les technologies publiques comme dans les nouveaux développements de l'Internet des Objets. Cette nouvelle vague d'attaques s'accompagne de nouveaux cybercriminels, des opérateurs indépendants qui utilisent de simples programmes malveillants pour agir à grande échelle. Malgré les progrès des organismes d'application de la loi en matière de lutte contre la cybercriminalité, ces défis perdurent.


Des piratages récents perturbent les services publics

Après avoir constaté que certains systèmes automatiques de transport étaient exposés aux cyberattaques, nous découvrons désormais des menaces éventuelles dans l'aviation. Le premier incident a eu lieu lorsque le chercheur en sécurité Chris Roberts a envoyé des tweets qui laissaient penser qu'il était en train de trafiquer les systèmes de divertissement de bord de l'avion 737/800 dans lequel il se trouvait. Cette découverte a été suivie d'une attaque DDoS à l'aéroport Frédéric Chopin de Varsovie, entraînant des retards qui ont retenu au sol plus de 1 400 passagers LOT Polish Airlines.

[Lire : Piratage en plein vol : faut-il s'inquiéter ? (angl.)]

Puis ce fut le tour des routers. Nos chercheurs ont observé une augmentation des attaques basées sur un programme malveillant qui modifiait le DNS et qui ciblait les routeurs particuliers. Une grande partie des infections ont été détectées au Brésil, aux États-Unis et au Japon. Le Brésil a décroché la part du lion des infections, avec 81 %. Ces attaques visaient à dérober des informations personnelles des dispositifs connectés aux routeurs domestiques à l'aide de programmes malveillants.

[Lire : Un programme malveillant modifie les DNS et vise les routeurs particuliers (angl.)]

Ces attaques visaient à dérober des informations personnelles des dispositifs connectés aux routeurs domestiques à l'aide de programmes malveillants modificateurs de DNS. Comme son nom l'indique, le programme malveillant modificateur de DNS change le DNS d'un routeur de sorte que tout dispositif qui s'y connecte charge une version malveillante du site auquel il tente de se connecter, y compris les sites de banque en ligne. Si ce type de programme malveillant n'est pas une nouveauté, il continue de s'imposer à mesure que les domiciles et les entreprises optent pour l'Internet des Objets.

[Lire : Un programme malveillant modifie les DNS et vise les routeurs particuliers (angl.)]

Enfin, début avril, une attaque sur la chaîne de télévision française TV5MONDE a paralysé le réseau de l'entreprise et a perturbé tous les programmes pendant quatre heures. Les pirates ont également pris le contrôle des comptes de réseaux sociaux de TV5MONDE et les ont utilisés non seulement à des fins de propagande mais aussi pour divulguer des informations personnelles des parents de soldats français impliqués dans des opérations militaires.

[Lire : Attaque de TV5MONDE : quatre heures qui ont changé le monde (angl.)]



Ces incidents montrent que les cybercriminels visent au-delà de nos postes de travails et dispositifs mobiles. Ils élargissent leurs cibles pour inclure les infrastructures publiques et les gadgets que nous considérons d'office comme sûrs.


Comme pour tout système, il existe des bugs dans ce système [aérien] ; aucun système créé par l'homme n'est totalement exempt d'erreurs. C'est aux gouvernements et aux organismes de réglementation de forcer les fournisseurs (d'avions et de systèmes de divertissement en vol) de dépasser le simple principe de sécurité par l'obscurité, de prouver que les systèmes existants sont sûrs et de couvrir toutes les failles révélées au grand jour. Qui sait, peut-être les systèmes en place ont-ils été conçus de manière robuste et sûre et protègent efficacement des pirates. - Martin Rösler, directeur de recherche sur les menaces

Des cybercriminels individuels exposés dans plusieurs régions du monde ; les ransomwares et programmes malveillants de PoS ne faiblissent pas

Nous avons observé plus de cas d'attaques de cybercriminels individuels au cours du deuxième trimestre. Frapstar, un opérateur individuel du Canada, a réalisé des profits en revendant des informations personnelles dérobées. Au Brésil, LordFenix a fait un tabac avec sa propre collection de chevaux de Troie bancaires, estimés chacun à plus de 300 $ US. De la même manière, AlejandroV a réussi à voler 22 000 numéros de cartes de crédit avec FighterPoS, son programme malveillant de points de vente.

[Lire : FighterPoS : combattre une nouvelle gamme de programmes malveillants de PoS (angl.)]

MalumPoS était un autre programme malveillant de PoS qui a fait irruption sur la scène du cybercrime au même moment. Le programme malveillant dérobait des informations des systèmes exécutés sur Oracle MICROS. 330 000 établissements dans le monde étaient donc vulnérables, notamment aux États-Unis.


Nombre de programmes malveillants de PoS détectés (1er trim. 2014 – 2ème trim. 2015)

La légère baisse des détections de programmes malveillants de PoS s'explique peut-être par le fait que la menace arrive à saturation.
Les dernières actions de la menace au cours du premier semestre étaient peut-être une ultime tentative pour en capitaliser les gains.



[Lire : Trend Micro découvre MalumPoS (angl.)]

Deux cybercriminels nigérians ont utilisé un simple keylogger à 35 $ US, appelé Hawkeye, pour cibler des petites entreprises dans le monde entier, en particulier en Inde, en Égypte, en Iran, au Pakistan, à Taïwan, à Hong Kong, en Russie, en France, en Allemagne et aux États-Unis.

[Lire : Comment deux cybercriminels sont devenus millionnaires avec un programme malveillant à 35 $ (angl.)]


Épidémies régionales de ransomwares (juin 2015)

Pays affectés
Le calendrier ci-dessus illustre les intentions d'envoyer des ransomwares à des pays spécifiques.
Parmi ces ransomwares, on peut citer les variantes de TorrentLocker et CryptoWall.


Les ransomwares ont été très actifs ce trimestre. Dans le seul mois de juin, des attaques de TorrentLocker et CryptoWall sont survenues presque chaque jour dans des pays comme les États-Unis, le Royaume-Uni, la Corée du Sud et la Chine. Nous avons également démasqué plusieurs adolescents chinois qui gagnaient de l'argent avec des ransomwares mobiles.


Pays affectés par des programmes malveillants au 2ème trim. 2015



HawkEye
Région Montant
Inde 1,8
Égypte 1,8
Iran 1,8
Pakistan 1,8
Taïwan 1,8
États-Unis 1,8
Hong Kong 1,8
Russie 1,8
France 1,8
Allemagne 1,8
LordFenix
Région Montant
Brésil 2,3
Argentine 0
Mexique 0
Frapstar
Région Montant
Canada 4
États-Unis 4
EMOTET
Région Montant
Allemagne 2,3
Pays-Bas 0
Italie 0
Ransomwares mobiles chinois
Région Montant
Chine 4
Mongolie 0
Thaïlande 0
TorrentLocker
Région Montant
Australie 1,1
Turquie 1,1
France 1,1
Allemagne 1,1
Italie 1,1
Nouvelle-Zélande 1,1
Pologne 1,1
Espagne 1,1
Taïwan 1,1
Royaume-Uni 1,1
États-Unis 1,1
TorrentLocker
Région Montant
Australie 1,1
Taïwan 1,1
Corée du Sud 1,1
Japon 1,1
France 1,1
Inde 1,1
Canada 1,1
Royaume-Uni 1,1
États-Unis 1,1


À l'avenir, on observera probablement une imbrication des anciennes et nouvelles menaces pour atteindre le même objectif. Pour se défendre efficacement, il faudra à la fois prendre en compte les nouvelles menaces et traiter les anciennes, tout en gardant un œil sur les attaques ciblées potentielles. Je recommande d'utiliser une stratégie clairement définie pour lutter contre les menaces. En plus d'étudier des événements particuliers au sein d'un hôte, assurez-vous de pouvoir également les corréler avec les événements du réseau. - Jay Yaneza, spécialiste des menaces

L'application de la loi porte ses fruits lorsque la sécurité est la priorité

Quelques-unes des victoires de ce trimestre en matière de sécurité ont été rendues possibles par des partenariats public-privé (PPP). Trend Micro a aidé Interpol et Europol à démanteler deux réseaux de zombies notoires : SIMDA et BEEBONE. Cette vague de victoires a été couronnée par la condamnation de Ross Ulbricht, créateur de Silk Road, en mai. Son procès a mis en lumière les marchés du Web profond et leurs offres, de la contrefaçon de passeports aux contrats d'assassinats.


[Lire : Sous la surface : explorer le Web profond (angl.)]

Notons également certaines grandes avancées dans la sécurité et la législation en faveur de la confidentialité. Aux États-Unis, après la signature du Freedom Act, le gouvernement américain a ordonné à tous les sites Web fédéraux d'utiliser le protocole HTTPS.


L'un des principaux problèmes de la législation face au cybercrime est que celui-ci évolue très rapidement. La plupart des lois n'entrent en vigueur qu'au bout de 3 à 5 ans. La solution la plus pertinente est donc d'appliquer des lois générales relativement anciennes. Ainsi, comme aux États-Unis, elles ont permis d'arrêter des personnes impliquées dans le crime organisé ou le racket. Ces lois ne sont pas spécialement conçues pour le monde virtuel, mais elles lui sont utiles. À grande échelle, il faudrait standardiser les lois entre les pays.

Au bout du compte, l'Internet est mondial. Par conséquent, le cybercrime est, lui aussi, mondial. Il serait donc beaucoup plus simple de poursuivre les criminels si la loi sur le piratage d'un serveur était exactement la même en Allemagne qu'en Irlande ou en France. Les complications seraient alors moins nombreuses en cas d'incidents de ce type. Ensuite, le plus important est de faciliter les communications de PPP afin d'accélérer le partage d'informations entre les organismes d'application de la loi et les chercheurs en sécurité. - Robert McArdle, cadre supérieur en recherche sur les menaces

L'impact politique et national de la fuite de données de l'OPM en a fait le plus gros incident jusqu'à présent

En juin, plus de 21 millions d'employés fédéraux américains actuels et anciens, ainsi que les membres de leur famille et des candidats recalés, ont vu leurs informations personnelles exposées après une série de fuites de données de l'Office of Personal Management. Les données divulguées comprenaient des numéros de sécurité sociale et même des empreintes digitales.

[Lire : La fuite de données fédérale la plus impressionnante de l'Histoire (angl.)]

L'IRS a également subi une fuite qui a publié 100 000 dossiers de contribuables. Les données ont été détournées à partir d'une application Web IRS piratée.


Principales fuites de données rapportées (2ème trim. 2015)

Localisation

Services de retraite japonais

Rapporté le : 1er juin 2015
Secteur : Annuités
Impact : 1 M de victimes (données personnelles, notamment numéros de sécurité sociale)

OPM, Washington DC

Rapporté le : 4 juin 2015
Secteur : Gouvernement
Impact : 21,5 M de victimes (numéros de sécurité sociale)

Juin 2015
Localisation

CareFirst BlueCross BlueShield, Baltimore, Maryland, États-Unis

Rapporté le : 20/05/2015
Secteur : Santé
Impact : 1,1 M de victimes

IRS, Washington DC

Rapporté le :26/05/2015
Secteur : Gouvernement
Impact : 100 000 victimes

Mai 2015
Les services publics étaient la première cible des attaques ce trimestre. La fuite de l'OPM était le plus gros incident à ce jour : plus de 20 millions de dossiers ont été rendus publics.

Source : https://www.privacyrights.org/data-breach

D'une certaine manière, la fuite de vos informations personnelles est encore plus dangereuse. Je peux changer facilement de carte de crédit, mais, à moins de déménager, je ne peux pas changer d'adresse. Je ne peux pas non plus changer ma date d'anniversaire. Non seulement les informations personnelles identifiables (IPI) permettent d'identifier les utilisateurs, mais elles sont souvent difficiles, voire impossibles, à modifier. - Raimund Genes, directeur des technologies

Les dernières attaques sur les services publics ont mis en évidence les motifs politiques derrière les campagnes ciblées

La Maison-Blanche et des membres de l'Organisation du Traité de l'Atlantique Nord (OTAN) sont devenus les dernières cibles de l'Opération Pawn Storm, une campagne économique et politique de cyberespionnage que nous avons découverte l'an dernier. Entre-temps, les organismes gouvernementaux aux Philippines et à Taïwan ont été victimes de deux autres campagnes d'attaques ciblées : Tropic Trooper et ESILE.

[Lire : L'Opération Pawn Storm renforce ses activités et cible l'OTAN et la Maison-Blanche (angl.)]

Les pays qui ont cherché à arrêter le développement nucléaire de l'Iran se sont heurtés à des attaques de Duqu 2.0 qui utilisaient plusieurs failles de type zero-day. Parallèlement, d'autres malfaiteurs avaient commencé à utiliser des macros malveillantes dans les campagnes d'attaques ciblées, comme GHOLE. Cela pourrait expliquer la croissance constante du volume des macros malveillantes au dernier trimestre.


Détections de macros malveillantes (2014-1er semestre 2015)

Le nombre de macros malveillantes détectées a légèrement augmenté de trimestre en trimestre, très probablement en raison d'une augmentation des publicités malveillantes qui redirigent vers des sites de téléchargement de macros malveillantes.


Traditionnellement, les attaques ciblées contre les institutions politiques et celles contre les grandes entreprises sont assez similaires. Il y a tout de même quelques différences mineures dans leurs motivations et le résultat final. Les attaques politiques sont parfois plus connues pour leur emploi de menaces zero-day combinées à des vecteurs d'attaques "traditionnels". Les attaques visant les entreprises, elles, utilisent plutôt des méthodes "standard" car elles reposent presque toujours sur le facteur humain, qui est le maillon faible de la chaîne. - Kyle Wilhoit, expert en menaces

Les infections secondaires sont florissantes en raison de trois phénomènes de mauvais augure. Tout d'abord, davantage de malfaiteurs visent la chaîne logistique d'informations des organismes, exploitant la méthode du island hopping ("tournée des îles") pour pirater les hôtes internes. Ensuite, après un piratage, la stéganographie permet d'établir un second canal de C&C au sein de systèmes piratés. L'adversaire peut alors contrer la réponse à l'incident. Enfin, une fois que le cybercriminel a volé la propriété intellectuelle ou les IPI, il utilise la marque de l'organisme pour l'attaquer via des attaques de type « watering hole ». Ces attaques ont augmenté de façon exponentielle dans les six premiers mois de 2015. - Tom Kellermann, responsable de la cybersécurité


Les sites Web publics et les dispositifs mobiles exposés aux failles



En avril, la plateforme de blog WordPress a été frappée par une faille qui permettait aux malfaiteurs d'insérer du code JavaScript malveillant dans la fenêtre de navigateur de l'administrateur. Magento, une plateforme d'e-commerce utilisée par eBay et plus de 240 000 sites d'achats en ligne dans le monde, a ensuite été victime d'une faille révélée fin juin. Le grand nombre d'utilisateurs de ces applications Web prouve que les failles de ces plateformes sont aussi dangereuses que celles des logiciels traditionnels.

[Lire : La plateforme d'e-commerce Magento d'eBay victime des voleurs de cartes de paiement (angl.)]

Les plateformes mobiles ont également eu leur part de failles, comme la faille de SwiftKey Android, qui permet aux pirates de prendre le contrôle des dispositifs mobiles des utilisateurs. Un patch a été publié mais la fragmentation du dispositif retarde toujours son déploiement sur les dispositifs affectés. D'énormes failles de sécurité ont également été observées dans les sandbox de l'application qui protègent les systèmes OSX et iOS.



Les cybercriminels exploitent les failles et les faiblesses de toutes les plateformes. Il leur faut juste un moyen d'entrer. Les grandes entreprises doivent être très prudentes face aux failles dans le logiciel principal et les plug-ins qu'elles utilisent. Un programme approfondi et continu d'évaluation des failles doit être complété par un programme d'évaluation de la configuration. Si les failles des logiciels standard comme Flash, Java, Firefox et Internet Explorer® font office d'étalon pour esquisser le paysage des menaces, il faut garder à l'esprit que les failles des applications personnalisées (surtout les applications Web) sont également très nombreuses, et que la plupart ne figurent pas sur la liste des CVE. Les applications personnalisées nécessitent une vérification personnalisée. Un bon test de pénétration des applications personnalisées est toujours utile. - Pawan Kinger, directeur des laboratoires Deep Security

Triplement du nombre d'accès du kit d'exploit Angler, intégration plus rapide des exploits dans les kits

À mesure que davantage de failles sont révélées, les kits d'exploits se mettent à jour rapidement pour les prendre en compte. Le kit d'exploit Angler est un parfait exemple de ce comportement. Il s'agit du premier kit à intégrer les failles pratiquement dès leur découverte. Cela explique peut-être l'augmentation du nombre d'infections du premier au deuxième trimestre 2015, ainsi que la montée en flèche du nombre d'utilisateurs ayant accédé à des URL liés au kit d'exploit entre mai et juin. Angler est particulièrement connu pour son utilisation de divers exploits Adobe Flash Player, parmi d'autres kits d'exploits comme Nuclear et Magnitude.


Chronologie des failles d'Adobe Flash intégrées à des kits d'exploit, 2ème trimestre 2015


Les exploits pour failles d'Adobe Flash ont été intégrés dans de plus en plus de kits d'exploits (en particulier Angler) depuis le début de l'année.



Les développeurs du kit d'exploit Angler y ont ajouté des exploits Adobe Flash de manière très active et agressive. Les développeurs des kits d'exploit Magnitude et Nuclear font de même. C'est cette agilité que nous devons continuer à étudier et surveiller pour mieux protéger nos clients. - Joseph C. Chen, expert en menaces

Paysage des menaces

Trend Micro Smart Protection Network™ a bloqué plus de 12 milliards de menaces au dernier trimestre, contre 14 milliards au début de l'année. Cette baisse peut s'expliquer par le fait que les cybercriminels optent désormais sur des attaques ciblées plutôt que sur des infections plus globales.

Nombre total de menaces bloquées

2e trim. 2015

Taux de détection (nombre de menaces détectées par seconde)

2e trim. 2015

Parmi ces menaces, les trois principaux groupes de programmes malveillants recensés lors du dernier trimestre étaient SALITY (88 000), DOWNAD/CONFICKER (77 000) et GAMARUE (58 000). Les variantes de SALITY sont connues pour endommager les routines effectuées en propageant des fichiers .EXE et .SCR infectés. Les variantes de DOWNAD/CONFICKER sont connues pour leur persistance à exploiter des failles et leur fort taux de propagation. Les variantes de GAMARUE sont capables de dérober des informations et de prendre le contrôle d'un système pour lancer des attaques sur d'autres systèmes.


Principaux groupes de programmes malveillants

*basé sur les détections PC

Le nombre total d'applications malveillantes et à risque pour Android est passé à environ 7,1 millions, soit une augmentation de 31 % par rapport au 1er trimestre 2014 (5,4 millions).

TÉLÉCHARGER LE RAPPORT COMPLET


Le raz-de-marée des nouveaux piratages dévaste les technologies publiques