mai 8, 2019
Cyber-histoires du côté obscur – version SAS 2019.
Bonjour à tous !
Je vous présente donc le dernier article de la série des cyber-actualités que je publie de temps à autre ; je parle bien sûr des mises à jour cyber-histoires du côté obscur. Je vais donc vous parler de certaines des interventions auxquelles j’ai pu assister lors de notre rencontre annuelle Security Analyst Summit qui s’est tenue à Singapour le mois dernier.
Chaque édition du SAS se distingue par les présentations faites par les experts. Contrairement à d’autres conférences géopolitiquement correctes, ici les analystes prennent la parole pour partager leurs découvertes au sujet de n’importe quelle menace informatique, peu importe d’où elle vient, et ils le font par principe. Après tout, un malware est un malware, et les utilisateurs doivent s’en protéger quelles que soient les intentions de ceux qui le présentent. N’oubliez pas l’effet boomerang.
Si certains médias n’hésitent pas à raconter des mensonges sur nous afin de répliquer à cette position de principe, alors qu’il en soit ainsi. Ils ne s’en prennent pas seulement à nos principes puisque nous mettons en pratique ce que nous prêchons. Nous sommes en tête lorsqu’il s’agit du nombre d’opérations de cyber espionnage résolues. Nous n’envisageons pas d’adopter une attitude différente au détriment de nos utilisateurs.
Voici un résumé des recherches les plus intéressantes que certains experts ont présentées lors du SAS. Il s’agit des histoires les plus captivantes, choquantes et effrayantes qui vont vous laisser bouche-bée.
- TajMahal
L’an dernier, nous avons mentionné une attaque qui s’en était prise à une organisation diplomatique en Asie centrale. Il n’est pas surprenant de voir que les cybercriminels soient intéressés par ce genre d’institution. Les systèmes d’informations des ambassades, consulats et missions diplomatiques ont toujours intéressé d’autres états et leurs agences d’espionnage, ou n’importe quelle personne ayant de mauvaises intentions ainsi que les connaissances techniques et les moyens financiers suffisants. Oui, nous avons déjà lu un roman d’espionnage. Il y a toutefois quelque chose de nouveau : ils ont construit un vrai » TajMahal » pour les attaques. Il s’agit d’une plateforme APT avec un grand nombre de plug-ins utilisés pour toutes sortes de scénarios d’attaque grâce à divers outils. Nous n’avions encore jamais vu autant de plug-ins dans une plateforme APT.
La plateforme se divise en deux : Tokyo et Yokohama. La première est la porte dérobée principale, qui permet également de transmettre le programme malveillant. Yokohama a de nombreuses fonctionnalités : vol de cookies, interception de documents en attente d’impression, enregistrement des appels VoIP (y compris WhatsApp et FaceTime), captures d’écran, et bien d’autres choses. L’opération TajMahal est active depuis au moins cinq ans. Sa complexité nous laisse croire qu’elle a été conçue pour s’en prendre à plus d’une personne. Il ne nous reste plus qu’à découvrir qui sont les victimes.
Vous pouvez obtenir plus de renseignements sur cette APT géante ici.
- Groupe Gaza cybergang
Nous avons parlé du groupe Gaza cybergang pour la première fois en 2015, alors que ce groupe de cybercriminels, d’origine arabe et à caractère politique, agit depuis 2012. Il opère principalement au Moyen-Orient et en Asie centrale. La plupart des attaques ont eu lieu en Palestine, mais il y a aussi eu plusieurs tentatives d’infections en Jordanie, en Israël et au Liban. Le groupe Gaza cybergang cherche surtout à surveiller les hommes politiques, les diplomates, les journalistes et les activistes politiques.
Le groupe peut être décrit comme » composé » puisqu’il y a au moins trois sous-groupes. Chaque groupe utilise une méthode différente, et c’est pourquoi nous n’avions pas détecté dans un premier temps qu’ils agissaient tous ensemble. Nous avons déjà parlé de deux de ces groupes, qui ont les meilleures aptitudes techniques, dans cet article et dans celui-ci. Le troisième sous-groupe, MoleRATs, a été mentionné pour la première fois lors du SAS 2019. Il est connu pour être intervenu dans l’opération SneakyPastes, appelée ainsi pour son utilisation active de pastebin.com.
Ces attaques à plusieurs niveaux commencent par un hameçonnage très malin : un e-mail à propos d’un sujet politique actuel, et qui semble contenir un genre de protocoles de négociations ou de correspondance qu’une organisation respectée, et apparemment réelle, aurait envoyé. Un employé de bureau non formé pourrait facilement être trompé et ouvrir les pièces jointes. Après quoi le fichier apparemment inoffensif, qui contient en réalité un malware, lance une série d’infections. Une fois qu’ils sont dans le système, les cybercriminels cachent la présence du malware à l’antivirus et franchissent progressivement les autres étapes de l’attaque.
Enfin, ils installent un RAT, qui a plus d’un tour dans son sac, sur le dispositif pris pour cible : il peut facilement télécharger les fichiers, lancer les applications, chercher des documents, et chiffrer les données. Il trouve tous les fichiers .pdf, .doc, .docx, .xlsx du système, les sauvegarde dans des dossiers de fichiers temporaires, les classe, les archive, les chiffre, et les envoie par des chaînes de domaines au serveur des centres de commande (C&C). Mesdames et Messieurs, voici l’espionnage en 2019 !
Vous voulez en savoir plus ? Espionnez ici.
- Fraude financière et clones numériques
Si vous pensez que toutes nos recherches ne se concentrent que sur les attaques qui semblent être tirées d’un roman policier, d’espionnage et de science-fiction alors vous avez tort. La troisième présentation dont je souhaite vous parler touche un nombre considérable de personnes. Il s’agit d’un simple crime informatique qui est devenu si courant que les médias n’en parlent plus. Pourtant ils ne devraient pas l’oublier ! Je parle de la fraude financière. Selon une source fiable, les pertes engendrées par la fraude à la carte bancaire représentaient 24 milliards de dollars en 2018. Oui, il s’agit bel et bien de milliards. Juste pour vous faire une idée… le budget annuel de la NASA s’élève à 21,5 milliards de dollars et les Jeux Olympiques de Tokyo ont coûté 25 milliards !
Ils ont dû penser à une nouvelle méthode pour remplacer la fraude par carte de crédit telle que nous la connaissions : le carding. Il est très répandu et prend de plus en plus d’ampleur. Même si les banques et les systèmes de paiement font particulièrement attention à la sécurité, les fraudeurs ne cessent de développer de nouveau outils pour voler de l’argent grâce aux cartes bancaires.
Lors du SAS 2019, Sergey Lozhkin nous a mentionné une autre branche du crime financier. Il a découvert un marché entier connu comme Genesis sur le darknet, où les » empreintes digitales numériques » volées sont achetées et vendues. Il s’agit simplement de paquets de données sur le comportement d’un utilisateur sur le Web, et de son empreinte digitale numérique : historique des pages consultées, information sur le système d’exploitation, navigateur, etc. C’est tout ce dont les cybercriminels ont besoin ? Plusieurs systèmes en ligne utilisent ces données pour vous protéger des tentatives de fraude en vérifiant l’identité de l’utilisateur. Si une empreinte digitale numérique correspond à celle utilisée auparavant, alors la solution de sécurité reconnaît l’individu et valide la transaction ; par exemple, un achat dans une boutique sur Internet ou un transfert d’argent à partir d’un service bancaire en ligne. Ces empreintes digitales numériques coûtent entre 5 et 200 dollars, selon le volume des données.
Comment obtiennent-ils ces empreintes digitales ? En utilisant plusieurs programmes malveillants. Par exemple, le malware peut être hébergé dans votre ordinateur et, petit à petit, sans que vous vous en rendiez compte, il peut récupérer toutes les données auxquelles il a accès. Vous ne remarquez rien.
Les fraudeurs ont trouvé une autre méthode leur permettant de contourner le système de protection : faire croire au système qu’il s’agit d’un nouvel utilisateur. Le service spécial Sphere permet de mener à bien cette action. Il réinitialise l’identité numérique et tous les paramètres. Par conséquent, le criminel est irréprochable pour le système de protection.
Que pouvons-nous faire ? Les banques doivent connaître les tous derniers stratagèmes de fraude informatique et utiliser une authentification à deux facteurs. Je pense qu’il sera bientôt nécessaire d’ajouter les données biométriques, les empreintes digitales, la reconnaissance de l’iris et bien d’autres techniques. En attendant, nous vous conseillons pour la énième fois de faire attention à vos données : mots de passe, numéros de carte bancaire, utilisation d’ordinateurs dans les lieux publics, et connexion aux réseaux Wi-Fi publics. Vous devez aussi installer une bonne solution de sécurité qui puisse reconnaître toutes les intentions malveillantes qui pourraient s’en prendre à votre identité numérique.
- Le pouvoir secret de YARA
Lorsque nous arrivions à la fin de l’édition du SAS de cette année, Vitaly Kamluk a fait une présentation Pecha Kucha (20 diapositives qui se succèdent toutes les 20 secondes) pour nous parler des capacités de YARA. Cet outil ressemble à un moteur de recherche qui cherche certaines caractéristiques dans les fichiers exécutables, ce qui aide énormément à analyser les malwares.
Lors de son intervention, intitulée » Le pouvoir secret de YARA « , il a attribué les pouvoirs spéciaux du Jedi à cet outil et a pu obtenir une vidéo en temps réel digne de l’art ASCII ! Le public était ébahi mais ce n’était pas tout puisqu’il a continué son tour de magie, et a commencé à jouer à la première version de DOOM au sein même du régime ASCII ! Les assistants étaient alors émerveillés, stupéfaits, fascinés, …
- Et si…
Le directeur de notre équipe GReAT, Costin Raiu, est la dernière personne a avoir pris la parole. Il a laissé l’audience avec beaucoup de doutes pour qu’elle réfléchisse aux théoriquement possibles méthodes de pénétration du malware dans le système, au niveau du hardware, et aux techniques permettant éventuellement de les dissimuler au niveau le plus profond du hardware. Qu’allons-nous faire si ces hypothèses deviennent une réalité ? Comment le secteur de la cybersécurité peut gérer cette situation ? C’était le sujet de la présentation de Costin ; un manuel d’utilisation pour ceux qui commencent dans ce secteur.
Voilà, c’est tout ce que nous avions à dire sur les meilleures histoires du SAS 2019. Nous avons hâte de découvrir les exemples les plus extraordinaires qui nous seront présentés lors du SAS 2020.
PS : Plus de 70 conférences ont été organisées lors du SAS 2019 et ces histoires ne sont que les » finalistes » qui ont passé tous les tests de sélection. Il m’est impossible de parler de tout ce qui a été dit lors de cette édition sur ce blog, mais l’enregistrement vidéo de l’événement dans sa totalité devrait bientôt être disponible sur notre chaîne YouTube…