Anatomie d'une attaque ciblée. Les attaques ciblées sont un nouveau mot dans le monde des menaces. Conclusion sur le thème des attaques ciblées

Ils sont utilisés pour provoquer des effets néfastes sur les infrastructures des entreprises et des agences gouvernementales. Avant une attaque, les cybercriminels étudient attentivement les défenses de l’organisation attaquée. Non seulement les systèmes d’information habituels de l’entreprise, mais aussi les outils de contrôle automatisé des processus (APCS) peuvent être attaqués. Les produits antivirus ne sont pas en mesure de prévenir une attaque ciblée, car dans de tels cas, les logiciels malveillants sont développés spécifiquement pour une infrastructure spécifique, notamment en tenant compte du logiciel de sécurité utilisé.

Récemment, l’accent a été mis sur la réalisation d’attaques ciblées plutôt que sur la création de logiciels malveillants. La cible de l’attaque est une organisation spécifique et la préparation prend beaucoup de temps. Les criminels étudient attentivement les mesures de sécurité utilisées par une victime potentielle et trouvent les vulnérabilités nécessaires, qui sont utilisées dans un ensemble d'opérations malveillantes.

Classification des attaques ciblées

Les attaques ciblées peuvent viser des entités gouvernementales et commerciales. Lors du piratage, des mécanismes standards sont utilisés (spam, phishing, infection de sites Web) et des kits d'exploitation. Les attaquants poursuivent principalement les objectifs suivants :

  • Vol de fonds sur des comptes bancaires et des portefeuilles électroniques, vol de données confidentielles.
  • Concurrence déloyale : manipulation de processus, falsification de documents, affaiblissement des concurrents, extorsion et chantage.
  • Vol d'échantillons de propriété intellectuelle.
  • Perturbation des activités normales des infrastructures militaires, industrielles et civiles, des systèmes de survie.
  • Utiliser les capacités des systèmes de télécommunication pour exercer des influences informationnelles et manipuler l'opinion publique.

Étapes des attaques ciblées

Au stade préparatoire, l'objet attaqué est étudié, des informations sont collectées, des activités de reconnaissance sont effectuées et les points faibles sont identifiés. Pour le suivi, des listes de diffusion, des sites et comptes officiels sur les réseaux sociaux, ainsi que des forums spécialisés sont utilisés. Les programmes d'analyse sont utilisés pour étudier l'infrastructure réseau et les logiciels. Des méthodes automatisées ou des formes d’influence individuelles, telles que des appels téléphoniques, peuvent être utilisées pour obtenir des données.

Une fois la préparation terminée, une stratégie est développée et des outils d’attaque sont sélectionnés. Les programmes malveillants sont écrits pour une attaque et une victime spécifiques ; cela est nécessaire pour surmonter les mesures de protection standard.

Cible d'attaques ciblées

Les attaques ciblées peuvent poursuivre des objectifs économiques, politiques ou autres.

Il existe des cas connus où des attaquants ont infiltré les systèmes de contrôle de processus technologiques individuels et d'activités d'entreprise. Pour obtenir les informations nécessaires, les criminels peuvent mettre en place un accès direct et pirater les gadgets appartenant aux employés.

Il est presque impossible d’éviter les tentatives de pénétration. Si les attaquants ont besoin d’accéder à certaines ressources, ils lanceront régulièrement des attaques combinées. Il est toujours possible que l’une des nombreuses attaques menées donne le résultat souhaité.

Selon les observations des spécialistes des principaux laboratoires antivirus, les plus menacés sont les services gouvernementaux, le secteur financier, les industries énergétiques et spatiales, les entreprises de télécommunications et d'informatique, les entreprises du complexe militaro-industriel, les établissements d'enseignement et scientifiques, les principaux personnalités publiques et politiques.

Liste des systèmes les plus souvent visés par des attaques ciblées :

  • Départements de recherche et développement (R&D). De telles sous-unités devraient bénéficier d’un niveau de protection élevé, mais ce n’est le plus souvent pas le cas.
  • Bureaux de direction des entreprises. La plupart des entreprises sont vulnérables aux actions des internes qui sont de mèche avec les attaquants et ont un accès physique aux ordinateurs.
  • Centre de données. Ces systèmes exécutent des serveurs qui exécutent de nombreuses applications. Ils doivent garantir un fonctionnement sûr, ce qui constitue le principal problème.
  • Au fur et à mesure que l’entreprise se développe, le réseau de fournisseurs ayant un faible niveau de protection des systèmes informatiques s’élargit. Une attaque ciblée peut être menée à travers eux.
  • Attaques contre la production. Toutes les installations de production ne sont pas dotées d'équipements modernes, beaucoup d'entre elles utilisent d'anciens systèmes spécialisés intégrés aux réseaux. Leur sécurité est difficile à contrôler, ce dont les cybercriminels tentent de profiter.
  • Réseaux informatiques de bureau. Pour augmenter l'efficacité des employés, tous les appareils sont regroupés dans un réseau commun, ce qui offre un large champ d'action aux pirates informatiques.
  • Plans de commercialisation. Le but de ces attaques est d’obtenir une liste de clients et de projets de vente, nuisant ainsi à la réputation de l’entreprise.
  • Smartphones et tablettes. Il s’agit d’un casse-tête absolu pour les services de sécurité de l’information de toute entreprise. Il est impossible de se passer de gadgets, mais de nombreuses informations précieuses et confidentielles ainsi que des mots de passe d'accès peuvent être stockés dans la mémoire de l'appareil, qui deviennent la cible des criminels.
  • Les attaques contre les bases de données sont effectuées afin d'obtenir des informations importantes ; les informations d'identification du compte administrateur peuvent être utilisées pour obtenir ce résultat.

Sources d'attaques ciblées

Pour atteindre leurs objectifs, les criminels utilisent tous les moyens disponibles. Il existe plusieurs vecteurs principaux d’attaques ciblées :

  • Accès non autorisé aux équipements de bureau et autres équipements pouvant être pénétrés ou code malveillant introduit.
  • Bien que les centres de données offrent généralement un niveau de sécurité acceptable, leurs vulnérabilités sont liées au fonctionnement du matériel et des logiciels du serveur qui y sont installés.
  • Grâce au développement de la technologie, les réseaux locaux étendus permettent aux attaquants, s'ils sont connectés à l'un des appareils (il peut s'agir d'un ordinateur, d'un fax, d'une imprimante ou d'un MFP), de se déplacer facilement au sein du réseau d'entreprise.
  • L'utilisation de smartphones et autres appareils électroniques personnels à des fins professionnelles et au sein d'un réseau d'entreprise peut devenir un maillon faible de la protection et un point de départ pour le développement d'une attaque.

Analyse des risques d'attaque ciblée

Il est peu probable qu’une attaque ciblée soit utilisée contre des utilisateurs de PC ordinaires, à moins qu’ils ne soient des employés de l’entreprise. La cible d’une attaque peut être n’importe quelle information de valeur. Le plus souvent, ces attaques sont menées pour obtenir des secrets industriels, des données personnelles et de paiement. De nombreux hommes d’affaires et chefs d’entreprise de premier plan pensent qu’un jour une attaque similaire pourrait être perpétrée contre leur organisation.

Aujourd’hui, plus d’une centaine de groupes de hackers mènent des attaques ciblées. Les structures gouvernementales et commerciales de 85 pays souffrent de leurs actions. Cette utilisation généralisée s’explique par l’optimisation des outils de piratage, qui rend les opérations malveillantes plus faciles et moins coûteuses.

Les fabricants d'outils de sécurité de l'information améliorent constamment leurs outils pour contrer les attaques ciblées. Des produits spécialisés sont en cours de développement, destinés non pas à rechercher des échantillons inconnus de code malveillant, mais à identifier les activités suspectes. Cela s'explique par le fait que les attaques n'utilisent pas toujours des programmes malveillants : les attaquants peuvent utiliser des moyens tout à fait légaux. Des modules distincts analysent les fichiers téléchargés sur Internet, l'activité du réseau et le comportement des utilisateurs sur les postes de travail. Les plus efficaces sont les solutions complexes, dont les composants individuels fournissent aux attaquants de faux ensembles de données et de cibles.

Il est impossible de se protéger complètement des attaques ciblées. Ainsi, si un criminel envisage d’accéder aux données de l’entreprise, il peut mener des attaques sur plusieurs mois, voire plusieurs années, développant parfois plusieurs opérations malveillantes en parallèle. N'ayant aucune limite de temps, il vérifie soigneusement la capacité de l'antivirus à détecter les logiciels malveillants et, si nécessaire, les modifie. La phase préparatoire de l’attaque représente la majeure partie du temps, mais l’attaque elle-même ne prend que quelques minutes. Dans de telles conditions, la probabilité de réussite est très élevée.

Détecter une attaque ciblée est une tâche très complexe et complexe. Le fait de pénétrer dans le système peut rester indétectable pendant longtemps. Il est donc très difficile d’estimer le nombre total d’attaques perpétrées dans le monde.

29/03/2013, vendredi, 13h03, heure de Moscou

Les logiciels malveillants utilisés dans les menaces persistantes avancées (APT) évoluent constamment. Ils peuvent désormais pénétrer secrètement dans les réseaux, souvent à la suite des postes de travail et des supports amovibles. Aujourd’hui, alors que les lieux de travail deviennent de plus en plus mobiles et échappent au contrôle de l’infrastructure de sécurité informatique des entreprises, le problème ne fait que s’intensifier.

Un exemple d’une telle menace est le ver Flame, une nouvelle arme de cyberguerre qui a attaqué le secteur énergétique iranien et qui se propage désormais à travers le Moyen-Orient. Le malware Flame1, découvert par les spécialistes de Kaspersky Lab, est connu comme « l’une des menaces les plus sophistiquées de tous les temps ». Et même si le virus Flame était initialement censé saboter le programme nucléaire iranien, il hante toujours les experts en sécurité. Le fait est qu’il s’est désormais propagé au-delà de l’infrastructure cible, infectant les systèmes des entreprises du monde entier.

Son prédécesseur était le virus Stuxnet, spécialement conçu pour infecter et perturber les systèmes de contrôle et d'acquisition de données (SCADA) qui contrôlaient les centrifugeuses iraniennes d'enrichissement d'uranium. Le succès de ce programme malveillant a dépassé les attentes de ses créateurs : l'équipement est passé dans un mode de fonctionnement incontrôlé avec une trajectoire vers l'autodestruction. Malheureusement, Stuxnet s'est également propagé au-delà de ses cibles iraniennes et a commencé à infecter les systèmes SCADA en Allemagne puis dans d'autres pays du monde.

Flame et Stuxnet sont des menaces ciblées complexes. Il s’agit d’armes de nouvelle génération destinées aux opérations militaires contrôlées par les gouvernements, les terroristes et les syndicats de la cybercriminalité bien financés. Ces logiciels malveillants, dotés de multiples fonctionnalités permettant de masquer leurs activités, visent principalement à voler la propriété intellectuelle, les plans militaires et autres actifs précieux de l'entreprise.

Toutefois, les victimes les plus probables de cette guerre seront les petites et moyennes entreprises, qui se retrouveront prises entre deux feux si elles ne déploient pas une infrastructure de sécurité complète pour protéger les terminaux. Il est révolu le temps où les moyennes et grandes entreprises pouvaient bénéficier d’un anonymat relatif ou lésiner sur les fonctionnalités de sécurité. Les menaces complexes et ciblées et les attaques Zero Day deviennent omniprésentes et implacables.

Evolution des menaces

Autrefois, les menaces étaient envoyées en masse, généralement par courrier électronique. La victime a été attirée dans un piège avec un message de phishing prétendant provenir d'un financier étranger ou d'un parent perdu depuis longtemps. Même si ces menaces étaient potentiellement dangereuses, elles étaient envoyées sans discernement. De plus, ils auraient pu être détectés et empêchés grâce à des mesures de sécurité de base. Ces types d'attaques continuent de dominer Internet. Cependant, le niveau de sophistication des menaces a considérablement augmenté récemment : les menaces ciblées complexes et les attaques Zero Day sont désormais plus courantes, suscitant peur et anxiété chez les utilisateurs.

Au cours des dernières années, les attaques les plus médiatisées utilisant des menaces ciblées complexes ont éclipsé même les scénarios les plus incroyables. Opération Aurora : attaque contre Google. En 2009, cette attaque d'origine chinoise a obtenu le code source et d'autres propriétés intellectuelles de Google et d'environ 30 autres sociétés mondiales grâce à des vulnérabilités dans Windows Internet Explorer.

Attaque sur RSA. Grâce à cette attaque de piratage contre la technologie de pointe de l'entreprise, les clés SecurID, dont le fournisseur de solutions de sécurité était si fier de la fiabilité, des cybercriminels ont pu infiltrer en 2011 les systèmes des sous-traitants militaires américains : Lockheed Martin, Northrop Grumman et L3 Communications.

Laboratoire national d'Oak Ridge. Un laboratoire du ministère de l'Énergie a dû être mis hors ligne lorsque les administrateurs ont découvert qu'une attaque de phishing exfiltrait des données sensibles d'un serveur.

GhostNet. Ce réseau de cyberespionnage, composé de 1 295 ordinateurs infectés dans 103 pays, ciblait un certain nombre de partisans du mouvement indépendantiste tibétain, ainsi que d'autres grandes organisations, notamment des ministères locaux, des commissions des affaires étrangères, des ambassades, des organisations internationales et non gouvernementales.

Rat ombragé. Dans le cadre de cette campagne très médiatisée, les réseaux d'agences gouvernementales, d'organisations à but non lucratif et de grandes entreprises de 14 pays à travers le monde ont été piratés, avec un total de 70 organisations touchées.

Caractéristiques principales

De nos jours, menaces ciblées avancées et attaques Zero Day vont de pair et bénéficient d’une large couverture médiatique. Et pourtant, que sont-ils et en quoi diffèrent-ils des menaces telles que les chevaux de Troie ou les vers ?

On peut affirmer sans se tromper qu’il ne s’agit pas d’attaques amateurs ordinaires. D'après le nom, il ressort clairement que ces menaces fonctionnent sur la base de technologies avancées, ainsi que de plusieurs méthodes et vecteurs d'attaques ciblées contre des organisations spécifiques afin d'obtenir des informations confidentielles ou classifiées.

Les créateurs de menaces ciblées complexes sont très différents des auteurs de menaces tels que les script kiddies qui lancent des attaques SQL ou l'auteur moyen de logiciels malveillants qui loue des botnets au plus offrant. En règle générale, ces menaces avancées sont planifiées par de grands syndicats organisés avec à leur disposition des équipes entières d’experts disposant d’une variété de technologies de collecte de renseignements. Parce que ces menaces opèrent progressivement, discrètement et sont capables de cacher leurs traces, elles sont de plus en plus privilégiées par les cybercriminels, les gouvernements hostiles, les terroristes et les syndicats du crime.

Plan de travail

Dans le cadre de menaces ciblées complexes, les cybercriminels utilisent des logiciels malveillants pour obtenir des informations personnalisées permettant de mener à bien la deuxième étape de l'attaque. Ensuite, des technologies d’ingénierie sociale individuelles sont utilisées, dont le but est d’infiltrer l’organisation par son point le plus faible : l’utilisateur final.

A ce stade de l’attaque, les cibles sont les individus ayant accès aux comptes souhaités. Cela implique l'utilisation de lettres convaincantes prétendant provenir des RH ou d'une autre source fiable. Un simple clic sur une telle lettre et les cybercriminels ont libre accès aux informations les plus précieuses de l'organisation, mais personne ne s'en doute. Lorsqu’une menace complexe et ciblée parvient à accéder à un système, elle utilise une variété de chevaux de Troie, de virus et d’autres logiciels malveillants. Ils infectent le réseau et créent de nombreuses « portes dérobées » qui peuvent rester indéfiniment sur les postes de travail et les serveurs. Pendant tout ce temps, la menace se déplace sans être détectée d'un ordinateur à un autre à la recherche d'une cible donnée.

Exploits du jour zéro

Les exploits Zero Day sont invariablement l’outil préféré pour les menaces ciblées complexes. Ce nom accrocheur capture l'essence des menaces qui exploitent les failles de sécurité des programmes avant que le fournisseur ne les corrige ou même connaisse leur existence. Ainsi, moins d'un jour s'écoule entre la première attaque et la correction - « zéro jour ». De ce fait, les cybercriminels disposent d’une totale liberté d’action. Sans crainte de représailles, ils profitent d’une attaque contre laquelle il n’existe aucune défense connue.

Les logiciels malveillants qui exploitent les vulnérabilités du jour zéro peuvent causer de graves dommages à une organisation sans se faire remarquer. Ils visent à voler des informations protégées telles que le code source, la propriété intellectuelle, les plans militaires, les données de l'industrie de la défense et d'autres secrets gouvernementaux utilisés à des fins d'espionnage. Lorsqu’une organisation prend connaissance d’une attaque, cela devient un cauchemar pour le service des relations publiques. Les dégâts se chiffrent en millions : après tout, il faut non seulement auditer l'infrastructure de sécurité, mais aussi payer les frais de justice, ainsi que faire face aux conséquences de l'exode des clients. Sans parler des efforts, du temps et de l’argent nécessaires pour restaurer la réputation et la confiance des clients.

Les menaces ciblées complexes et les exploits Zero Day sont loin d’être des phénomènes nouveaux. Ils ont été utilisés pour la première fois il y a plusieurs années, bien avant que ces termes n'entrent dans le langage courant des professionnels de la sécurité. Jusqu'à présent, de nombreuses organisations ne réalisent même pas qu'elles ont été victimes il y a plusieurs mois (et parfois années) d'une attaque cachée « jour zéro ». Selon le Data Security Breach Report de Verizon, 2,44 % de ces violations de propriété intellectuelle ne sont découvertes que des années plus tard.

Exemple concret : un rapport publié par le Christian Science Monitor3 a révélé qu'en 2008, trois sociétés pétrolières – ExxonMobil, Marathon Oil et ConocoPhilips – avaient été victimes de cyberattaques ciblées menées à l'aide de menaces ciblées complexes. Dans le cadre d'attaques apparemment d'origine chinoise, les cybercriminels ont téléchargé sur un serveur distant des informations critiques sur le nombre, la valeur et l'emplacement des champs de pétrole découverts dans le monde. Cependant, l’attaque de l’entreprise n’a été découverte qu’après que le FBI a signalé que des informations confidentielles leur avaient été volées.

En 2011, les menaces ciblées complexes occupaient à juste titre l'une des premières places parmi les menaces à la sécurité. Après tout, c’est à cause d’eux que des sociétés telles que Sony, Epsilon, HBGary et DigiNotar ont subi d’énormes pertes cette année. Sans parler de la société RSA, qui a perdu près de 40 millions de fichiers contenant des mots de passe à usage unique pour les clés électroniques. Au total, la faille de sécurité RSA4 a coûté à l'entreprise environ 66 millions de dollars, tandis que les pertes de Sony5 dues à la perte de 100 millions d'enregistrements se sont élevées à 170 millions de dollars.

Fin 2011, il y avait au moins 535 failles de sécurité des données, entraînant la perte de 30,4 millions d'enregistrements. De nombreuses entreprises ont été victimes de plusieurs attaques sensationnelles cette année, rapporte Privacy Rights Clearinghouse. Et cela ne représente qu’une petite partie des violations connues, car chaque année, des milliers de failles de sécurité ne sont pas détectées ou ne sont pas divulguées.

Il est possible et nécessaire de se défendre contre des menaces ciblées complexes. Les méthodes de protection seront abordées dans l’article « Menaces ciblées complexes : assurer la protection ».

Les attaques ciblées sont devenues le sujet de discussions actives au sein de la communauté mondiale dès 2009. C’est alors que l’attaque Stuxnet a été connue. Peut-être pouvons-nous dire que c’est ici qu’a commencé l’histoire récente des cyberattaques ciblées. Apprenez-en plus sur ce qu'est ce type de cybercriminalité et comment de telles attaques peuvent se dérouler plus en détail dans notre documentation.

Que sont les attaques ciblées ?

Les attaques ciblées (ou délibérées) sont des actions pré-planifiées contre une entité ou une organisation étatique ou non étatique spécifique. En règle générale, les cybercriminels qui mènent des attaques ciblées sont des professionnels, ils peuvent être comparés aux attaquants traditionnels qui volent des voitures à la demande : ils ont une cible précise, ils étudient les mesures de sécurité de la voiture pour réussir à les contourner.

Aujourd’hui, les activités des pirates informatiques acquièrent de plus en plus de caractéristiques commerciales traditionnelles. Il existe une sorte de « marché noir » sur le marché : des systèmes fantômes et des lieux de vente de logiciels nécessaires pour attaquer l'infrastructure informatique d'une entreprise particulière. Il existe des prix fixes que l’on trouve facilement sur Internet.

Vous pouvez même trouver des gammes de produits déjà établies : les « entreprises » cybercriminelles élargissent l'entonnoir de vente, préparant des modifications individuelles des solutions en tenant compte de différents segments cibles. Il existe des prix pour les botnets et de nouvelles versions de chevaux de Troie sont activement annoncées. Vous pouvez même acheter une attaque ciblée en tant que service. Les cyber-attaquants créent leurs propres plans de développement, qui sont également activement annoncés.

En règle générale, les annonces sont faites dans des sources fermées », explique Andrey Arefiev, responsable du développement de produits chez InfoWatch. – Néanmoins, nous pouvons affirmer que l’industrie moderne des botnets possède toutes les caractéristiques d’un produit commercial à part entière. Selon une étude indépendante, le nombre d’utilitaires utilisés pour créer des botnets a décuplé ces dernières années.

De plus, la nature des attaques a considérablement changé ces dernières années : elles sont devenues très sophistiquées. Les attaques d'aujourd'hui sont devenues plus ramifiées : l'attaquant tente de s'adapter à la propre infrastructure de l'entreprise et de rendre l'attaque aussi invisible que possible. L’attaque doit soit être détectée le plus tard possible, soit ne pas être détectée du tout. Par conséquent, de telles attaques, en règle générale, s’étendent dans le temps et ne deviennent perceptibles que lorsque vient le temps de se manifester activement.

Les attaques ciblées sur l'infrastructure informatique présentent les caractéristiques suivantes :

  • Ils étudient le système de sécurité dont dispose l’entreprise et le contournent.
  • La nature des attaques est devenue plus multi-étapes : elles peuvent commencer sur l'ordinateur de la secrétaire et la cible finale sera l'ordinateur du comptable - par exemple, la tâche des attaquants peut être d'y installer des logiciels malveillants.

À titre provisoire, on peut noter que si l’on n’observe pas de signes visibles d’une attaque contre l’infrastructure informatique de l’entreprise, cela ne signifie pas qu’elle n’est pas attaquée », résume Andreï Arefiev.

Exemples d'attaques ciblées

Selon un certain nombre de sources ouvertes, le « point d’entrée » pour l’introduction d’un programme antivirus cheval de Troie est souvent l’activité interne d’employés déloyaux de l’entreprise. Un exemple similaire a pu être observé en Iran il n’y a pas si longtemps.

Le principal objectif de cette attaque était de contenir le programme nucléaire iranien. À notre connaissance, un État souverain contrôlait les centrifugeuses nucléaires d’enrichissement et un certain nombre d’installations étaient passées en mode d’urgence. Les centrifugeuses tombaient rapidement en panne et leur réparation prenait du temps et de l'argent, ce qui retardait l'enrichissement de l'uranium. Comme nous l’avons découvert, cette attaque a été planifiée à l’avance, menée et menée sur une longue période.

Le but de l’attaque n’était pas de voler du matériel, mais de contrôler les installations industrielles. Il est effrayant d’imaginer ce qui pourrait arriver si quelqu’un commençait à contrôler une centrale nucléaire : la mettre en mode d’urgence menace, au minimum, d’un deuxième Tchernobyl...

Cependant, les installations stratégiquement importantes et les grandes organisations gouvernementales ne sont pas les seules à devenir la cible des attaquants. Récemment, un propriétaire d’une organisation commerciale a eu l’occasion de le constater personnellement. Ils ont tenté d'infecter le serveur de l'entreprise en utilisant des vulnérabilités de contact. Le propriétaire de l'entreprise a eu de la chance car seul l'ordinateur du comptable a été attaqué.

Un logiciel malveillant est un programme qui permet un accès non autorisé à des informations confidentielles via des vulnérabilités. De tels programmes sont généralement utilisés pour obtenir un accès principal à un réseau d'entreprise. En règle générale, l'injection système signifie l'accès aux données lorsque le système est redémarré. L'« enregistrement » du module exécutable consiste à le redémarrer à chaque fois.

Des logiciels malveillants peuvent se retrouver sur l'ordinateur d'un employé d'une entreprise non seulement en raison d'une intention malveillante de ce dernier, mais également en raison de l'ingénierie sociale utilisée par les pirates (par exemple, un cybercriminel peut demander à la victime de suivre un lien particulier ou de visiter un site tiers). ressource du parti).

En conséquence, la victime devient disponible pour une attaque et les attaquants accèdent au système d'exploitation de l'ordinateur de travail de l'employé. Vous pouvez désormais lancer des fichiers malveillants afin de prendre ensuite le contrôle des ordinateurs de votre organisation. Les actions répertoriées ci-dessus sont appelées « attaques du jour zéro ».

Quelles données sont le plus souvent volées ?

Cela dépend en grande partie du profil de l’entreprise. La cible des pirates informatiques peut être les secrets industriels et les développements stratégiques d'un plan fermé, de paiements et de données personnelles. Il est intéressant de noter que, selon une étude, 63 % des personnes interrogées comprennent qu'une attaque ciblée contre leur entreprise n'est qu'une question de temps.

Méthodes d’identification des attaques ciblées :

Analyse des signatures.

Réaliser une analyse de signature implique que les analystes disposent d'un fichier infecté par un virus. L'étude d'un tel programme malveillant permet de supprimer sa signature (empreinte digitale). Une fois la signature saisie dans la base de données, vous pouvez vérifier si le fichier est infecté par ce virus en comparant simplement les signatures. L’avantage de l’analyse des signatures est qu’elle permet de diagnostiquer avec précision une attaque. S'il existe un fichier avec une signature correspondante, nous pouvons affirmer en toute sécurité que l'ordinateur est affecté.

L'analyse des signatures présente de nombreux avantages :

  • Il peut être utilisé non seulement pour rechercher des virus, mais également pour filtrer le trafic système.
  • Vous pouvez « vous asseoir » à la passerelle et surveiller la présence de certaines signatures non vérifiées.
  • Il permet de réaliser des systèmes de diagnostic pour contrer les attaques avec une grande précision.

Un inconvénient majeur de l’analyse des signatures est la nécessité de mettre à jour la base de données des signatures. La plupart des entreprises sont obligées de mettre à jour la base de données de signatures toutes les 15 minutes. Dans le même temps, un nouveau virus apparaît dans le monde toutes les demi-heures. Vient ensuite un long processus d'enregistrement et d'étude, et seulement après cela, la signature est saisie dans la base de données. Jusqu’à présent, l’entreprise était sans défense face au nouveau virus.

Une autre méthode pour étudier les logiciels malveillants précédemment identifiés est l’analyse heuristique.

La fonction de l'analyse heuristique est de vérifier dans le code exécutable la présence d'activités suspectes, caractéristiques de l'activité des virus. Cette technique est bonne car elle ne dépend de la pertinence d’aucune base de données. Cependant, l’analyse heuristique présente également des inconvénients.

Étant donné que tous les principaux antivirus sont connus et accessibles à tous, les pirates peuvent tester les logiciels écrits et les modifier jusqu'à ce qu'ils contournent tous les outils de protection antivirus connus. Ainsi, l’efficacité des principaux algorithmes heuristiques est réduite à néant.

Une autre méthode de détection des attaques ciblées consiste à utiliser des pare-feu dits de nouvelle génération, qui, en plus des capacités traditionnelles, permettent également de filtrer le trafic. Le principal inconvénient des pare-feux est leur « méfiance » excessive : ils génèrent un grand nombre de faux positifs. De plus, les pare-feu utilisent des technologies qui peuvent être trompées (sandboxing, analyse heuristique et analyse de signature).

Il existe également une autre méthode de protection utilisée pour lancer des applications. L'idée est très simple : la station ne peut lancer que des applications individuelles (c'est ce qu'on appelle WhiteListening). L'inconvénient est qu'une telle « liste blanche » doit contenir toutes les applications dont l'utilisateur peut avoir besoin sans exception. En pratique, cette méthode est bien sûr assez fiable, mais très peu pratique, car elle ralentit les processus de travail.

Enfin, il existe une technologie récemment développée pour la détection dynamique des attaques, qui est utilisée dans le produit InfoWatch Targeted Attack Detector, explique Andrey Arefiev. – Cette technologie repose sur le fait que les actions des attaquants entraînent inévitablement une modification des systèmes informatiques de l’entreprise. Par conséquent, la solution InfoWatch analyse périodiquement le système informatique de l'organisation, collectant des informations sur l'état des objets critiques. Les données reçues sont comparées aux résultats des analyses passées, puis une analyse intelligente des changements survenus est effectuée pour déterminer la présence d'anomalies. Lorsqu'un logiciel malveillant inconnu est détecté, un analyste de l'entreprise est impliqué dans l'analyse de ses actions et des dommages possibles à l'infrastructure de l'entreprise.

- A quel stade peut-on qualifier une attaque de ciblée ?

En fait, l’identification d’anomalies est le premier signe d’un dysfonctionnement de votre système et constitue un signe indirect que l’entreprise est attaquée. De plus, l’attaque ne doit pas nécessairement impliquer un virus de niveau Octobre rouge. Comme le montre la pratique, un petit cheval de Troie envoyé périodiquement plus loin suffit. En principe, cela suffit à rapporter de l’argent à des cyberattaquants spécifiques.

De manière générale, je voudrais souligner que les attaques ciblées représentent un outil puissant pour influencer les politiques des grandes organisations gouvernementales et commerciales. C’est pourquoi il est nécessaire de lutter systématiquement et avec précaution contre ce type de cybercriminalité.

Elena Kharlamova

Les logiciels malveillants ont depuis longtemps cessé d’être un outil permettant de commettre des méfaits, visant à organiser un botnet pour envoyer du spam ou, dans des cas extrêmes, voler le mot de passe bancaire sur Internet de l’utilisateur pour effectuer une opération non autorisée. Pour les entreprises, les virus ordinaires peuvent être considérés comme un « sabotage mineur » qui ne présente pas de risques sérieux. À son tour, cette méthode pour gagner de l'argent n'intéresse pas particulièrement les criminels, car Il existe de nombreux outils de protection disponibles (outils antivirus, applications avec mesures de contrôle renforcées pour les transactions financières, etc.) qui ne permettent pas au criminel de tirer un grand profit de l'attaque.

Fin justifie les moyens
Nicolas Machiavel

À l’ère de l’informatisation totale et du progrès technologique, où des milliards de dollars sont stockés dans les systèmes de commerce électronique, il serait naïf de supposer qu’il n’existe pas de criminels hautement compétents qui ne voudraient pas voler ces fonds. Aujourd’hui, il existe une tendance clairement définie et croissante dans le recours à des attaques ciblées contre les infrastructures des moyennes et grandes entreprises.

Attaques ciblées (APT, Advanced Persistent Threats)– Il s’agit d’attaques (malwares) visant des objets ou des industries spécifiques. Ils tiennent compte des spécificités de l’entreprise à laquelle ils s’appliquent ou du domaine d’activité de l’entreprise dans son ensemble.

Toutes les attaques de ce type contiennent un certain nombre de signes :

    Focus sur l'industrie (le virus/l'attaque est utilisé dans une certaine industrie, mais pour une autre, cela n'aura pas d'importance) ;

    Code de programme "non trivial". Comme mentionné précédemment, des spécialistes hautement qualifiés écrivent des virus personnalisés. Lors de la rédaction, ils prennent en compte la plupart des nuances que les mesures de sécurité standards peuvent prendre en compte. Pour cette raison, par exemple, les outils antivirus basés sur les signatures ne seront probablement pas en mesure de détecter un tel code de programme comme étant malveillant. Pour cette raison, un attaquant peut rester longtemps indétectable dans les systèmes et collecter les statistiques nécessaires pour mener à bien une attaque.

En règle générale, les attaquants utilisent des exploits Zero Day pour mettre en œuvre des menaces ciblées.

0jour (eng. Zéro jour)- un terme désignant les vulnérabilités non corrigées, ainsi que les logiciels malveillants contre lesquels des mécanismes de protection n'ont pas encore été développés.

La tâche la plus importante de l'exploit est de pénétrer inaperçu dans le périmètre de l'entreprise, de prendre pied, si possible, en éliminant l'outil antivirus et de renforcer tout l'équipement de l'attaquant pour un travail confortable et « productif ».

Comme le montrent les statistiques de 2013-2014, les attaquants ont remporté d'énormes victoires dans ce domaine. Zeus d'abord, puis Carberp, tant en Russie que dans le monde, sont devenus un véritable fléau. Le volume des vols utilisant ces deux seules familles de virus s'est élevé au cours de l'année à plusieurs milliards de dollars. L'attaque moyenne réussie contre une entreprise du secteur du crédit et de la finance en Russie était de 30 millions de roubles.

Une telle activité suspecte ces dernières années est associée à l'histoire de la fuite du code source de logiciels malveillants de très « haute qualité » sur le réseau.

« Le code source du célèbre cheval de Troie bancaire Carberp a été divulgué dans le domaine public. Les codes sources Carberp dans une archive RAR de 1,88 Go sont désormais facilement trouvés par Google. Une fois décompressé, le projet contient environ 5 Go de fichiers avec une liste détaillée. De toute évidence, nous pouvons désormais nous attendre à une nouvelle vague de créativité de la part des auteurs de virus débutants et confirmés. Quelqu’un a même plaisanté : « La fuite de Zeus était comme une machine à sous gratuite. La fuite Carberp est déjà un lance-roquettes gratuit… », expert en sécurité de l'information, auteur du magazine Hacker, Denis Mirkov

"Alors que devrions-nous faire maintenant ?!" - Une question qui vient involontairement à la gorge de tout agent de sécurité. Cela nous rappelle une citation d'Emanuel Lasker en 1899 : « La seule façon de devenir plus intelligent est de jouer avec un adversaire plus fort. » Les technologies et les développeurs ne restent pas immobiles : s'il y a une demande, il y aura une offre décente. Le principal problème dans la détection des menaces Zero Day est l’incapacité de trouver des signatures familières lors de l’analyse du code. Mais cela ne signifie pas que le comportement d’un fichier ne peut pas être surveillé, testé à l’aide de la méthode de la « boîte noire » et que les conclusions appropriées en sont tirées !

L'analyse comportementale dans un bac à sable est de loin le moyen le plus efficace d'analyser et de détecter les menaces Zero Day et les attaques ciblées. Divers fabricants proposent leurs solutions, affirmant que leur produit est le plus productif et le plus précis. Cependant, ce n'est pas le cas : le principal problème de ce type de solutions réside dans les faux positifs (faux positifs), qui peuvent annuler tout le travail du service de sécurité. La solution choisie ne doit être sensible qu'aux menaces graves. La mise en œuvre d'un tel concept nécessite déjà du professionnalisme et de l'expérience, qui ont dû être traduits en algorithmes complexes et mis en œuvre dans le produit final.

VENIAMIN LEVTSOV, vice-président, chef de la division Corporate de Kaspersky Lab
NIKOLAI DEMIDOV, consultant technique pour la sécurité de l'information chez Kaspersky Lab

Anatomie d'une attaque ciblée
Partie 1

Chaque année, les organisations améliorent leurs outils commerciaux en introduisant de nouvelles solutions, tout en compliquant simultanément leur infrastructure informatique. Désormais, lorsque le serveur de messagerie d'une entreprise se bloque, que des informations importantes sont effacées des points finaux ou que le fonctionnement du système automatisé de génération des factures pour le paiement est perturbé, les processus commerciaux s'arrêtent tout simplement.

Conscientes de leur dépendance croissante à l'égard des systèmes automatisés, les entreprises sont également de plus en plus préoccupées par la sécurité des informations. De plus, le chemin vers la création d'un système de sécurité de l'information dépend de la situation dans une organisation spécifique donnée - des incidents survenus, des convictions d'employés spécifiques - et est souvent formé « par le bas », depuis les sous-systèmes individuels de sécurité de l'information jusqu'aux vue d'ensemble.

En conséquence, un système unique en plusieurs étapes est créé, composé de divers produits et services, complexes, généralement uniques pour chaque entreprise, où les spécialistes de la sécurité de l'information peuvent :

  • analyser les fichiers à l'aide de systèmes de sécurité des points finaux ;
  • filtrer le trafic de courrier électronique et Web à l'aide de solutions de passerelle ;
  • surveiller l'intégrité et l'immuabilité des fichiers et des paramètres du système ;
  • surveiller le comportement des utilisateurs et réagir aux écarts par rapport aux modèles de trafic normaux ;
  • analyser le périmètre et le réseau interne à la recherche de vulnérabilités et de configurations faibles ;
  • mettre en œuvre des systèmes d'identification et d'authentification, chiffrer les disques et les connexions réseau ;
  • investir dans un SOC pour collecter et corréler les journaux et les événements des sous-systèmes mentionnés ci-dessus ;
  • commander des tests d'intrusion et d'autres services pour évaluer le niveau de sécurité ;
  • mettre le système en conformité avec les exigences des normes et procéder aux certifications ;
  • enseigner au personnel les bases de l’hygiène informatique et résoudre une infinité de problèmes similaires.

Mais malgré tout cela, le nombre de réussites, c'est-à-dire les attaques contre les infrastructures informatiques qui atteignent leur objectif ne diminuent pas, mais leurs dégâts augmentent. Comment les attaquants parviennent-ils à contourner des systèmes de sécurité complexes, généralement uniques dans leur composition et leur structure ?

La réponse est assez courte : en préparant et en réalisant des attaques complexes qui tiennent compte des caractéristiques du système cible.

Concept d'attaque ciblée

Il est temps de donner une définition qui, à notre avis, reflète fidèlement la notion d'attaque ciblée, ou ciblée.

Une attaque ciblée est un processus continu d'activité non autorisée dans l'infrastructure du système attaqué, contrôlé manuellement à distance en temps réel.

Premièrement, il s'agit précisément d'un processus - une activité dans le temps, une certaine opération, et pas seulement une action technique ponctuelle. Après avoir analysé ces attaques, les experts de Kaspersky Lab notent que leur durée varie de 100 jours ou plus.

Deuxièmement, le processus est conçu pour fonctionner dans une infrastructure spécifique, est conçu pour surmonter des mécanismes de sécurité spécifiques, des produits spécifiques et impliquer des employés spécifiques dans l'interaction. Il convient de noter qu'il existe une différence significative dans l'approche des envois massifs de logiciels malveillants standards, lorsque les attaquants poursuivent des objectifs complètement différents - essentiellement, prendre le contrôle d'un point final distinct. Dans le cas d’une attaque ciblée, elle se construit autour de la victime.

Troisièmement, cette opération est généralement gérée par un groupe organisé de professionnels, parfois internationaux, armés d'outils techniques sophistiqués, essentiellement un gang. Leurs activités s’apparentent en effet beaucoup à une opération militaire en plusieurs étapes. Par exemple, les attaquants dressent une liste d'employés susceptibles de devenir la « porte d'entrée » de l'entreprise, établissent un contact avec eux sur les réseaux sociaux et étudient leurs profils. Après cela, la tâche consistant à prendre le contrôle de l’ordinateur de travail de la victime est résolue. En conséquence, son ordinateur est infecté et les attaquants prennent le contrôle du réseau et commettent directement des actes criminels.

Dans une situation d'attaque ciblée, ce ne sont pas les systèmes informatiques qui combattent entre eux, mais les personnes : certains attaquent, d'autres repoussent une attaque bien préparée qui prend en compte les faiblesses et les caractéristiques des systèmes de contre-attaque.

Actuellement, le terme APT (Advanced Persistent Threat) est de plus en plus répandu. Regardons sa définition.

APT est une combinaison d'utilitaires, de logiciels malveillants, de mécanismes permettant d'exploiter les vulnérabilités du jour zéro et d'autres composants spécialement conçus pour mettre en œuvre cette attaque.

La pratique montre que les APT sont utilisées de manière répétée et répétée à l'avenir pour mener des attaques répétées avec un vecteur similaire contre d'autres organisations.

Une attaque ciblée, ou ciblée, est un processus, une activité. APT est un outil technique qui permet de mettre en œuvre une attaque.

Nous pouvons affirmer avec certitude que la propagation active des attaques ciblées est due, entre autres choses, à une forte réduction des coûts et des coûts de main-d'œuvre liés à la mise en œuvre de l'attaque elle-même. Un grand nombre d'outils développés précédemment sont à la disposition des groupes de pirates informatiques, il n'est parfois pas nécessaire de créer de toute urgence des logiciels malveillants exotiques à partir de zéro. La plupart des attaques ciblées modernes sont basées sur des exploits et des logiciels malveillants créés précédemment ; seule une petite partie utilise des techniques entièrement nouvelles, qui sont principalement classées comme menaces APT. Parfois, des utilitaires tout à fait légaux créés à des fins « pacifiques » sont utilisés dans le cadre d’une attaque – nous reviendrons sur cette question ci-dessous.

Étapes d'une attaque ciblée

Dans ce document, nous aimerions décrire les principales étapes d'une attaque ciblée, regarder à l'intérieur, montrer le squelette du modèle général et les différences dans les méthodes de pénétration utilisées. La communauté des experts estime qu'une attaque ciblée passe généralement par quatre phases dans son développement (voir Fig. 1).

La figure ci-dessous montre les quatre phases d'une attaque ciblée, démontrant son cycle de vie. Formulons brièvement l'objectif principal de chacun d'eux :

  • Préparation– la tâche principale de la première phase est de trouver une cible, de collecter des informations privées suffisamment détaillées à son sujet, sur la base desquelles identifier les points faibles de l'infrastructure. Construisez une stratégie d'attaque, sélectionnez des outils créés précédemment et disponibles sur le marché noir ou développez vous-même ceux nécessaires. En règle générale, les étapes de pénétration planifiées seront minutieusement testées, y compris leur indétectabilité par les outils standard de sécurité de l'information.
  • Pénétration– la phase active d’une attaque ciblée, utilisant diverses techniques d’ingénierie sociale et de vulnérabilités zero-day pour infecter dans un premier temps la cible et effectuer une reconnaissance interne. Une fois la reconnaissance terminée et l’identité de l’hôte infecté (serveur/poste de travail) déterminée, du code malveillant supplémentaire peut être téléchargé via le centre de contrôle sur commande de l’attaquant.
  • Diffusion– la phase de consolidation au sein de l’infrastructure, principalement sur les machines clés de la victime. Étendez votre contrôle autant que possible, en ajustant les versions du code malveillant si nécessaire via les centres de contrôle.
  • Atteindre l'objectif– la phase clé d’une attaque ciblée ; selon la stratégie choisie, on peut utiliser :
    • vol d'informations classifiées ;
    • modification délibérée d'informations classifiées ;
    • manipulation des processus commerciaux de l’entreprise.

A toutes les étapes, une condition obligatoire est remplie pour masquer les traces de l'activité d'une attaque ciblée. Lorsqu’une attaque est terminée, il arrive souvent que les cybercriminels se créent un « point de retour », leur permettant de revenir dans le futur.

Première phase d'attaque ciblée - Préparation

Identifier l'objectif

Toute organisation peut devenir la cible d’une attaque. Et tout commence par un ordre ou une reconnaissance générale ou, plus précisément, une surveillance. Dans le cadre d'une surveillance à long terme du paysage commercial mondial, les groupes de hackers utilisent des outils accessibles au public, tels que les flux RSS, les comptes Twitter officiels des entreprises et les forums spécialisés où divers employés échangent des informations. Tout cela permet d’identifier la victime et les objectifs de l’attaque, après quoi les ressources du groupe passent à la phase de reconnaissance active.

Collecte d'informations

Pour des raisons évidentes, aucune entreprise ne fournit d'informations sur les moyens techniques qu'elle utilise, notamment la sécurité de l'information, la réglementation interne, etc. C’est pourquoi le processus de collecte d’informations sur la victime est appelé « reconnaissance ». La tâche principale de la reconnaissance est de collecter des informations privées ciblées sur la victime. Toutes les petites choses sont importantes ici et aideront à identifier les faiblesses potentielles. Le travail peut utiliser les approches les plus non triviales pour obtenir des données primaires privées, par exemple l'ingénierie sociale. Nous présenterons plusieurs techniques d'ingénierie sociale et autres mécanismes d'intelligence utilisés dans la pratique.

Méthodes de reconnaissance :

Insider Il existe une approche de recherche des salariés d'une entreprise récemment licenciés. Un ancien employé de l'entreprise reçoit une invitation à un entretien de routine pour un poste très alléchant. Nous savons qu'un psychologue du recrutement expérimenté est capable de parler à presque tous les employés en lice pour un poste. De ces personnes, ils reçoivent une assez grande quantité d'informations pour préparer et sélectionner un vecteur d'attaque : depuis la topologie du réseau et les mesures de sécurité utilisées jusqu'aux informations sur la vie privée des autres employés.

Il arrive que les cybercriminels recourent à la corruption des personnes dont ils ont besoin dans une entreprise et qui détiennent des informations, ou entrent dans un cercle de confiance grâce à une communication amicale dans les lieux publics.

Sources ouvertes. Dans cet exemple, les pirates profitent de l'attitude peu scrupuleuse des entreprises à l'égard des informations papier, qui sont jetées à la poubelle sans être correctement détruites ; parmi les déchets, on peut trouver des rapports et des informations internes, ou, par exemple, des sites Web d'entreprises qui contiennent les vrais noms. des salariés du domaine public. Les données obtenues peuvent être combinées avec d’autres techniques d’ingénierie sociale.

Grâce à ce travail, les organisateurs de l'attaque peuvent disposer d'informations assez complètes sur la victime, notamment :

  • noms des employés, e-mail, téléphone ;
  • horaire de travail des services de l'entreprise ;
  • informations internes sur les processus de l'entreprise ;
  • informations sur les partenaires commerciaux.

Les portails des marchés publics constituent également une bonne source d'informations sur les solutions mises en œuvre par le client, y compris les systèmes de sécurité de l'information. À première vue, l’exemple ci-dessus peut paraître insignifiant, mais en réalité il ne l’est pas. Les informations répertoriées sont utilisées avec succès dans les méthodes d'ingénierie sociale, permettant à un pirate informatique de gagner facilement la confiance en utilisant les informations reçues.

Ingénierie sociale.

  • Appels téléphoniques pour le compte des employés internes.
  • Réseaux sociaux.

Grâce à l'ingénierie sociale, vous pouvez obtenir un succès significatif en obtenant des informations confidentielles sur l'entreprise : par exemple, dans le cas d'un appel téléphonique, un attaquant peut se présenter au nom d'un employé du service d'information, poser les bonnes questions ou demander d'exécuter la commande souhaitée. sur l'ordinateur. Les réseaux sociaux sont un bon moyen de déterminer le cercle d'amis et les intérêts de la bonne personne ; ces informations peuvent aider les cybercriminels à développer la bonne stratégie pour communiquer avec une future victime.

Stratégie de développement

La stratégie est obligatoire dans la mise en œuvre d’une attaque ciblée réussie, elle prend en compte l’ensemble du plan d’action à toutes les étapes de l’attaque :

  • description des étapes d'une attaque : pénétration, développement, atteinte des objectifs ;
  • méthodes d'ingénierie sociale, vulnérabilités exploitées, contournement des mesures de sécurité standards ;
  • étapes de développement de l'attaque en tenant compte des situations d'urgence possibles ;
  • consolidation au sein, privilèges accrus, contrôle des ressources clés ;
  • extraction de données, suppression de traces, actions destructrices.

Création d'un stand

Sur la base des informations collectées, un groupe d'attaquants commence à créer un stand avec des versions identiques du logiciel exploité. Un terrain d'essai qui permet de tester les étapes de pénétration sur un modèle existant. Pratiquez diverses techniques pour une mise en œuvre secrète et pour contourner les mesures standard de sécurité des informations. Essentiellement, le stand sert de pont principal entre les phases passive et active de pénétration dans l'infrastructure de la victime. Il est important de noter que la création d’un tel stand n’est pas bon marché pour les pirates. Le coût de l’exécution d’une attaque ciblée réussie augmente à chaque étape.

Développement d'un ensemble d'outils

Les cybercriminels sont confrontés à un choix difficile : il est important pour eux de choisir entre les coûts financiers liés à l'achat d'outils prêts à l'emploi sur le marché parallèle et les coûts de main-d'œuvre et le temps nécessaire pour créer les leurs. Le marché fantôme offre une sélection assez large d'instruments divers, ce qui réduit considérablement le temps, sauf cas uniques. Il s’agit de la deuxième étape qui distingue l’attaque ciblée comme l’une des cyberattaques les plus gourmandes en ressources.

Examinons l'ensemble des outils en détail. En règle générale, un ensemble d'outils se compose de trois composants principaux :

1. Centre de commande, ou centre de commande et de contrôle (C&C). La base de l'infrastructure des attaquants est constituée de centres de commande et de contrôle C&C, qui assurent la transmission des commandes aux modules malveillants contrôlés, à partir desquels ils collectent les résultats de leur travail. L’attaque se concentre sur les personnes qui l’exécutent. Le plus souvent, les centres sont implantés sur Internet par des prestataires proposant des services d’hébergement, de colocation et de location de machines virtuelles. L'algorithme de mise à jour, comme tous les algorithmes d'interaction avec les « hôtes », peut changer dynamiquement en fonction des modules malveillants.

2. Outils de pénétration résoudre le problème de « l’ouverture de la porte » d’un hôte distant attaqué :

  • Exploiter– un code malveillant qui exploite les vulnérabilités logicielles.
  • Validateur– un code malveillant est utilisé en cas de primo-infection ; il est capable de collecter des informations sur l'hôte et de les transmettre à C&C pour une prise de décision ultérieure sur le développement de l'attaque ou son annulation complète sur une machine spécifique.
  • Téléchargeur pour le module de livraison Dropper. Le téléchargeur est extrêmement souvent utilisé dans les attaques d’ingénierie sociale et est envoyé en pièce jointe dans les messages électroniques.
  • Module d'administration compte-gouttes– un programme malveillant (généralement un cheval de Troie), dont la tâche est de délivrer le principal virus Payload sur la machine infectée de la victime, conçu pour :
    • sécurisation à l'intérieur d'une machine infectée, démarrage caché, injection de processus après le redémarrage de la machine ;
    • Injectez dans un processus légitime pour télécharger et activer le virus Payload sur un canal crypté, ou extrayez et lancez une copie cryptée du virus Payload à partir du disque.

L'exécution du code se produit dans un processus légitime injecté avec des droits système ; une telle activité est extrêmement difficile à détecter par les outils de sécurité standard.

3. Corps du virus de la charge utile. Le principal module malveillant d'une attaque ciblée, téléchargé sur un hôte Dropper infecté, peut être constitué de plusieurs modules fonctionnels supplémentaires, dont chacun remplira sa propre fonction :

  • enregistreur de frappe ;
  • enregistrement d'écran ;
  • accès à distance;
  • module de distribution intra-infrastructure ;
  • interaction avec C&C et mise à jour ;
  • chiffrement;
  • nettoyage des traces d'activité, d'autodestruction ;
  • lire le courrier local ;
  • rechercher des informations sur le disque.

Comme nous pouvons le constater, le potentiel de l'ensemble d'outils considéré est impressionnant, et les fonctionnalités des modules et des techniques utilisées peuvent varier considérablement en fonction des plans d'attaque ciblés. Ce fait souligne le caractère unique de ce type d’attaque.

En résumé, il est important de noter la croissance des attaques ciblées dirigées contre des entreprises dans divers secteurs du marché, la grande complexité de leur détection et les énormes dommages causés par leurs actions, dont la détection ne peut être garantie après une longue période. Selon les statistiques de Kaspersky Lab, la détection d'une attaque ciblée a lieu en moyenne 200 jours après son activité, ce qui signifie que les pirates ont non seulement atteint leurs objectifs, mais ont également contrôlé la situation pendant plus de six mois.

De plus, les organisations qui ont découvert la présence d'APT dans leur infrastructure ne sont pas en mesure de réagir correctement, de minimiser les risques et de neutraliser l'activité : ce n'est tout simplement pas ce pour quoi le personnel chargé de la sécurité de l'information est formé. En conséquence, une entreprise sur trois suspend ses activités pendant plus d’une semaine pour tenter de reprendre le contrôle de sa propre infrastructure, se retrouvant alors confrontée à un processus d’enquête complexe sur les incidents.

Selon une enquête de Kaspersky Lab, les pertes résultant d'un incident majeur s'élèvent en moyenne à 551 000 dollars pour une entreprise : ce montant comprend les opportunités commerciales perdues et les temps d'arrêt du système, ainsi que le coût des services professionnels visant à éliminer les conséquences. (Données de l'étude « Business Information Security » menée par Kaspersky Lab et B2B International en 2015. Plus de 5 500 spécialistes informatiques de 26 pays, dont la Russie, ont participé à l'étude.)

Les articles suivants de la série « Anatomie d'une attaque ciblée » vous expliqueront comment une attaque se développe, les méthodes permettant de contourner les mesures de sécurité standard et d'exploiter les menaces du jour zéro, l'ingénierie sociale, la propagation et la dissimulation des traces en cas de vol d'informations clés, et bien plus encore. .


En contact avec

ARTICLES LIÉS