8 février 2017

Attaques « invisibles » : des cybercriminels piratent des entreprises dans 40 pays à l’aide de malware caché

Des banques, des opérateurs de télécommunications et des administrations aux Etats-Unis, en Amérique du Sud, en Europe et en Afrique viennent en tête des cibles, les principaux suspects étant les groupes tristement célèbres GCMAN et Carbanak.

Les experts de Kaspersky Lab ont découvert une série d’attaques ciblées « invisibles » utilisant exclusivement des logiciels légitimes : des outils très répandus de test de pénétration et d’administration ou encore le framework PowerShell pour l’automatisation des tâches dans Windows, qui n’installent aucun fichier malveillant sur le disque dur mais se cachent en mémoire. Cette méthode combinée permet d’éviter la détection par des techniques de liste blanche et ne laisse aux enquêteurs quasiment aucun indice ou échantillon de malware exploitable. Les auteurs des attaques restent dans la machine juste assez longtemps pour y collecter des informations, avant que leurs traces ne soient effacées du système au premier redémarrage.

Vers la fin de 2016, les experts de Kaspersky Lab ont été contactés par des banques de l’ex-URSS, ayant constaté un usage fréquent du logiciel de test de pénétration Meterpreter à des fins malveillantes, dans la mémoire de leurs serveurs là où il n’était pas censé se trouver. Kaspersky Lab a découvert que le code Meterpreter était associé à un certain nombre de scripts PowerShell légitimes et d’autres utilitaires. Ces outils combinés avaient été adaptés dans du code malveillant capable de se dissimuler en mémoire, pour la collecte invisible des mots de passe des administrateurs système de sorte que des cybercriminels puissent prendre à distance le contrôle de la machine de leurs victimes. L’objectif ultime paraît être d’accéder à des processus financiers.

Kaspersky Lab a depuis découvert que ces attaques s’opèrent à une échelle massive, touchant plus de 140 réseaux d’entreprise dans différents secteurs d’activité, la plupart des victimes se trouvant aux Etats-Unis, en France, en Equateur, au Kenya, au Royaume-Uni et en Russie.

attaques-invisibles-des-cybercriminels-piratent-des-entreprises

Répartition géographique des entreprises attaquées par la méthode découverte

Au total, des infections ont été enregistrées dans 40 pays.

Nul ne sait qui se cache derrière ces attaques. En raison de l’utilisation de code d’exploitation open source, d’utilitaires Windows courants et de domaines inconnus, il est quasi impossible de déterminer le groupe responsable, ni même s’il s’agit d’un seul groupe ou de plusieurs groupes partageant les mêmes outils. Les groupes connus qui emploient les méthodes les plus proches sont GCMAN et Carbanak.

Des outils de ce type rendent également plus difficile la découverte des détails d’une attaque. Le processus normal de réponse à un incident consiste, pour un enquêteur, à suivre les traces et échantillons laissés sur le réseau par les attaquants. Or, tandis que les données enregistrées sur un disque dur peuvent demeurer accessibles pendant un an après un incident, les indices résidant en mémoire sont effacés au premier redémarrage de l’ordinateur. Heureusement, en l’occurrence, les experts ont pu les intercepter à temps.

« La détermination des auteurs des attaques à masquer leur activité et à compliquer de plus en plus la détection et la réponse aux incidents explique la récente tendance marquée par des techniques anti-investigations et des malwares résidant en mémoire. C’est pourquoi les investigations mémoire prennent une importance critique pour l’analyse du malware et de ses fonctionnalités. Dans ces incidents particuliers, les attaquants ont utilisé toutes les techniques anti-investigations possibles et imaginables, faisant la démonstration qu’aucun fichier malveillant n’est nécessaire pour exfiltrer avec succès des données d’un réseau et que l’emploi d’outils légitimes et open source rend une attribution quasi impossible », commente Sergey Golovanov, chercheur principal en sécurité chez Kaspersky Lab.

Leurs auteurs étant encore actifs, il faut noter que la détection de ce type d’attaques n’est possible qu’en RAM, sur le réseau et dans la base de registre et qu’en pareil cas, des règles Yara reposant sur l’analyse de fichiers malveillants ne sont d’aucune utilité.

Les détails de la seconde partie de l’opération, montrant comment les attaquants ont employé des tactiques spécifiques pour retirer de l’argent à des distributeurs automatiques, sera présentée par Sergey Golovanov et Igor Soumenkov à l’occasion du Security Analyst Summit, qui se tient du 2 au 6 avril 2017.

Les produits Kaspersky Lab détectent avec succès les opérations employant les tactiques, techniques et procédures décrites ci-dessus. Des plus amples informations sur cette affaire et sur les règles Yara d’investigation se trouvent sur le blog Securelist.com. Les détails techniques, notamment les indicateurs d’infection (IoC), ont été également fournis aux clients des Kaspersky Intelligence Services.

La lutte contre les attaques de groupes comme GCMAN ou Carbanak nécessite les compétences d’un spécialiste de la sécurité protégeant l’entreprise cible. Au cours du Security Analysis Summit 2017, les meilleures spécialistes de Kaspersky Lab animeront des formations exclusives destinées à faciliter la détection des attaques ciblées complexes. Inscrivez-vous respectivement ici pour une formation à la lutte contre les attaques ciblées au moyen de règles Yara et ici pour une formation à la rétro-ingénierie des malwares.

Articles related to Actualités Virus