m-trends 2017 - fireeye · 2018-05-08 · les chiffres clés fournis par fireeye isight...

$: M-TRENDS 2017 - FireEye · 2018-05-08 · Les chiffres clés fournis par FireEye iSIGHT Intelligence 6 Tendances en matière d'attaques 8 Moins d'effractions, plus de vols 16 Contournement$
RAPPORT SPÉCIAL

M-TRENDS®

Les nouvelles du front2017

M-TRENDS® 2017 2

SOMMAIRE

Présentation du rapport M-Trends® 2017 3

Avant-propos 4

Les chiffres clés fournis par FireEye iSIGHT Intelligence 6

Tendances en matière d'attaques 8

Moins d'effractions, plus de vols 16

Contournement de l'authentification multifacteur lors des vols d'e-mails d'entreprise 16

Cible : Réseaux bancaires 22

FireEye as a Service — Visibilité sur les menaces émergentes 26

Dernières tendances en matière de défense 30

Adaptation des dispositifs de défense à la nouvelle normalité 31

Perspectives d'avenir – Une approche de la sécurité axée sur la cyberveille 34

Traque des menaces 36

Zoom sur les tendances régionales en Asie-Pacifique 38

Violations de sécurité notables en Asie-Pacifique 40

Principaux secteurs de la région Asie-Pacifique exposés aux cybermenaces 41

Zoom sur les tendances en région EMEA 42

Violations de sécurité notables dans l'EMEA 44

Principaux secteurs de la région EMEA exposés aux cybermenaces 45

L'impact du Règlement général sur la protection des données (RGPD) sur les entreprises de l'EMEA 46

Conclusion 47

3PRÉSENTATION DU RAPPORT M-TRENDS® 2017

PRÉSENTATION DU RAPPORT M-TRENDS® 2017

Chaque année, Mandiant, une société FireEye, intervient sur de nombreuses cyberattaques, et 2016 n'a pas fait d'exception.

Dans notre rapport M-Trends® 2017, nous revenons sur les incidents que nous avons

investigués l'an dernier pour dresser un état des lieux des tendances en matière

d'attaque et de défense au niveau mondial et régional (continent américain, région

Asie-Pacifique et région EMEA). Pour la deuxième année consécutive, nous avons

inclus les dernières observations de nos équipes FireEye as a Service (FaaS). FaaS

surveille les entreprises clientes 24h/7j, ce qui donne à ses équipes une perspective

unique sur le paysage actuel des menaces. Cette année, nous nous sommes par

ailleurs associés avec le cabinet d'avocats DLA Piper pour évoquer les prochaines

modifications des lois relatives à la protection des données dans la région EMEA.

Avant- propos

Les tendances en matière d'attaque révèlent un degré de sophistication plus élevé que jamais. Non seulement les cyberattaques commanditées par des États restent extrêmement élaborées, mais certains auteurs d'attaques à caractère financier ont si bien comblé leur retard qu'il est aujourd'hui difficile de les distinguer. Ces cybercriminels ont énormément amélioré leurs tactiques, techniques et procédures, compliquant considérablement les opérations de détection, investigation et remédiation.

4 M-TRENDS® 2017

5AVANT-PROPOS

Si les acteurs de la cybercriminalité financière ont considérablement amélioré leurs outils et haussé leur niveau de jeu, ils ont également fait preuve d'innovation dans d'autres domaines. La tendance la plus inattendue observée en 2016 est sans doute la pratique consistant à téléphoner aux cibles pour les inciter à activer la macro d’un document de phishing, ou encore pour leur demander l'adresse e-mail personnelle d'un collaborateur afin de contourner les contrôles de protection des comptes e-mail d'entreprise. Ces groupes ont également amélioré leur capacité à élever des privilèges et établir une persistance dans les environnements infiltrés.

Bien que nos enquêtes indiquent que les réseaux interbancaires représentent une cible particulièrement attrayante pour ces groupes crapuleux, 2016 a également été marquée par une intensification de l'utilisation de malwares visant à vider les DAB.

Or, si l'on constate une augmentation soutenue de l'agressivité et de la sophistication des cyberattaques, du côté des défenseurs, la riposte s’organise extrêmement lentement. Dans les entreprises victimes comme dans celles qui travaillent d’arrache-pied à l’amélioration de leur protection, certains contrôles et fonctionnalités de sécurité fondamentaux brillent encore par leur absence. Impossible, dans ces conditions, de prévenir les violations de sécurité ou limiter les dommages et conséquences d'une inéluctable compromission. Nos observations des tendances de ces dernières années indiquent que les entreprises doivent adopter une approche basée sur une cybersécurité, un diagnostic des risques et une adaptation des défenses en continu, sans quoi des failles importantes apparaîtront dans leurs contrôles de sécurité de base et, plus grave encore, dans la visibilité et la détection des attaques ciblées.

L'intégration d'une cyberveille pointue, l'automatisation et la traque des menaces doivent constituer l'objectif ultime des entreprises confrontées à des risques métiers significatifs et une exposition importante aux cyberattaques. En 2016, nous avons observé une augmentation du nombre d'entreprises qui envisagent d'implémenter, ou implémentent déjà, des dispositifs de sécurité autrefois réservés à la puissance publique et aux grands établissements financiers. Si nous préconisons une approche de la sécurité résolument proactive, les entreprises ne doivent toutefois pas perdre de vue les fonctions de sécurité de base qui réduisent les risques de sécurité globaux et assurent l’efficacité des opérations défensives. Face à la volonté accrue des groupes étatiques et autres cybercriminels financiers de mener au grand jour des attaques toujours plus disruptives (interruption de service, extorsion

de fonds, divulgation publique de données, etc.), les protections de base telles que la ségrégation des données et des applications stratégiques, la segmentation du réseau et le suivi permanent des systèmes critiques, sont revenus au goût du jour. C’est désormais aux équipes informatiques et de sécurité de leur donner la prépondérance qui est la leur.

FireEye croit en une approche de la sécurité axée sur la cyberveille, laquelle s'applique à un grand nombre des tendances en matière de défense décrites dans le rapport M-Trends® 2017. Les DSI, RSSI et équipes de sécurité sont en quelque sorte devenus victimes de leur propre succès. Du fait de l'augmentation des investissements dans les outils et technologies de sécurité, les équipes sont submergées d'alertes et de données. Par conséquent, elles peinent à prioriser et distinguer les alertes et données pertinentes des éléments parasites. Ensemble, les opérations et investigations de cyberdéfense, la cyberveille, l'automatisation et l'orchestration peuvent être combinées pour transformer des fonctions manuelles chronophages en mesures de remédiation cohérentes et priorisées, présentées à l'analyste par degré de gravité et d'impact selon une échelle prédéterminée. Cette « mécanisation » des processus, alliée à des informations de cyberveille précises et pertinentes, peut éliminer des milliers d'heures de travail laborieux, tout en permettant aux analystes de se concentrer sur l'analyse et la remédiation des compromissions critiques.

En plus d'améliorer les fonctions défensives de détection et neutralisation, la cyberveille constitue la pierre angulaire d'un dispositif de sécurité et d'une traque des menaces véritablement proactifs. La cyberveille permet aux entreprises d'établir et de maintenir un profil des menaces de référence. Ce profil représente une valeur objective basée sur des données tangibles (et non sur des craintes subjectives), pour fournir aux opérationnels et aux équipes de sécurité des informations sur l'auteur, la nature, la localisation, le moment et le mode opératoire les plus probables des attaques, sans oublier la meilleure façon de les traquer. En partant du principe qu'une violation est irrémédiable dans les zones de l'infrastructure les plus susceptibles d'être ciblées, les entreprises peuvent concentrer leur surveillance sur ces zones sensibles et apporter une réponse précise et factuelle à la question qui hante l'esprit de chaque dirigeant : « Mon entreprise est-elle compromise ? »

M-TRENDS® 2017 6

FOURNIS PAR FIREEYE iSIGHT INTELLIGENCE

Les chiffres clés

SECTEURS AYANT FAIT L'OBJET D'INVESTIGATIONS

Biotechnologies et pharmaceutique

Services aux entreprises

9 %2 %

3 %

4 %

19 %

5 %

10 %

3 %

2 %

5 %

3 % 3 %

13 %

9 %9 %

Construction et ingénierie

Éducation

Énergie

Finance

Administrations et collectivitésSanté

Hautes technologies

Industrie

Médias et divertissement

Associatif

Commerce et hôtellerie

Télécommunications

Transport et logistique

APAC EMEAAMÉRIQUE

TOTAL DES SECTEURS AYANT FAIT L'OBJET D'INVESTIGATIONS

7LES CHIFFRES CLÉS 7

Cette année, nous avons constaté une nette diminution de la durée d'implantation moyenne dans les régions EMEA et APAC. Nous pensons qu'un certain nombre de facteurs ont œuvré en faveur de cette baisse.

Si de nombreuses entreprises ont commencé à mettre en place des méthodologies de test plus efficaces (simulations d'attaque, diagnostic de préparation à un incident, etc.) afin d'évaluer proactivement leur dispositif de sécurité, nous soupçonnons toutefois la nature changeante des attaques d’avoir joué un grand rôle dans la baisse observée.

Si les victimes de ces deux régions subissent toujours des violations de longue durée, nous pensons en effet qu'une augmentation notable des attaques destinées à être identifiées rapidement (ransomware, effacement de données, etc.) influent grandement sur les statistiques des régions EMEA et Asie-Pacifique.

Dans l'ensemble, la région Asie-Pacifique continue d'enregistrer les durées d'implantation des attaquants les plus élevées, en raison du manque criant d'investissements en sécurité.

AMÉRIQUES APACEMEA

35030025020015010050

0

EXTERNE INTERNE MÉDIANE

350

300

250

200

150

100

50

0EXTERNE INTERNE MÉDIANE

EXTERNE INTERNE MÉDIANE

35030025020015010050

0

MÉDIANE

35030025020015010050

0

DURÉE D'IMPLANTATION

TOTAL DES SOURCES DE NOTIFICATION

47 %

53 %EXTERNES

INTERNES

Branche Amérique APAC EMEA Total

Finance 15 % 31 % 36 % 19 %

Commerce et hôtellerie 15 % 7 % 10 % 13 %

Hautes technologies 12 % 7 % 2 % 10 %

Santé 12 % 2 % 0 % 9 %

Services aux entreprises 10 % 5 % 3 % 9 %

Administrations et collectivités 8 % 5 % 16 % 9 %

Industrie 5 % 7 % 5 % 5 %

Médias et divertissement 5 % 7 % 2 % 5 %

Énergie 3 % 10 % 3 % 4 %

Construction et ingénierie 3 % 2 % 7 % 3 %

Éducation 3 % 0 % 2 % 3 %

Télécommunications 2 % 9 % 5 % 3 %

Associatif 2 % 0 % 0 % 2 %

Transport et logistique 2 % 5 % 7 % 3 %

Biotechnologies et pharmaceutique 2 % 3 % 2 % 2 %

Autres 1 % 0 % 0 % 0 %

LÉGENDE : SECTEURS AYANT FAIT L'OBJET D'INVESTIGATIONS

80107 99

35

104 99 83

128106

172

Tendances en matière d'attaques

M-TRENDS® 2017 8

9TENDANCES EN MATIÈRE D'ATTAQUES

Moins d'effractions, plus de volsAvant 2013, Mandiant qualifiait les attaques perpétrées par des pirates ciblant des informations financières (ACH, PCI, virements bancaires, déclarations d'impôts, etc.) de « vol avec effraction ». Concrètement, les attaquants agissaient au grand jour et ne démontraient aucune intention de maintenir l'accès à un environnement une fois repérés. Les attaques ne faisaient donc pas dans la discrétion, si bien que la réparation des dégâts était simple et directe. Dans la plupart des cas, les attaques étaient opportunistes, les outils rudimentaires et les compétences de l'attaquant limitées, sauf quelques exceptions. Nous disions souvent ceci à nos consultants avant leur première investigation sur une affaire de cybercriminalité financière : « La situation sera simple. Les outils ne sont absolument pas discrets : il s'agit souvent de langages de script convertis en code compilé à l'aide d'outils tels que Perl2Exe, ce qui génère un grand nombre d'artefacts numériques et met en évidence l'activité malveillante. Il vous suffira de bloquer quelques adresses IP pour mettre un terme à l'attaque. »

Dès 2013, nous avons commencé à signaler des méthodes de plus en plus élaborées chez ces cybermalfaiteurs. Les enquêtes menées par Mandiant depuis 2014 (comme indiqué dans le rapport M-Trends® 2015) ont montré que « les frontières s'estompent entre les

cybercriminels ordinaires et les auteurs d'attaques avancées financés par des États ». Cependant, à l'époque, leur niveau de maturité était très faible. Les attaquants utilisaient davantage des binaires compilés (plutôt que Perl2Exe) et commençaient à peine à mettre en place des infrastructures de commande et contrôle (CnC) destinées à survivre à une purgation sommaire et à établir une présence durable.

Aujourd'hui, la frontière entre le niveau d’élaboration de certaines attaques financières et les attaques d’acteurs étatiques n'existe tout simplement plus. En 2016, certains auteurs d'attaques financières ont utilisé des backdoors configurés sur mesure pour chaque système compromis, augmenté la résilience de leur infrastructure CnC et amélioré leurs techniques d’évasion aux analyses forensiques.

Si les attaquants à la solde d’États tiennent toujours le haut du pavé en termes de méthodes et de fonctionnalités, la cybercriminalité financière n’est plus à ranger systématiquement dans la catégorie des vols avec effraction. Un attaquant dont les agissements sont plus difficiles à détecter, analyser et neutraliser est plus susceptible de maintenir une présence discrète dans un environnement pour parvenir à ses fins, ce qui se traduit automatiquement par une augmentation du volume d'informations financières volées.

La figure 1 ci-dessous illustre l'augmentation du niveau d’élaboration des méthodes employées par les auteurs d'attaques financières, telle qu'elle a été observée au cours des trois dernières années.

Shells Web et binaires compilés à l'aide de Perl2Exe

Peu de systèmes infectés, configuration identique pour chaque système

Infrastructure CnC limitée, généralement constituée de quelques adresses IP,

sans résolution des noms de domaine

Malwares de base tels que PoisonIvy

Backdoors déployés sur un plus grand

nombre de systèmes

Infrastructure CnC plus développée, davantage d'adresses IP et recours

à la résolution des noms de domaine

Figure 1 : Augmentation du n iveau d ’é laboration des méthodes employées par les auteurs

d 'at taques f inancières

Backdoors personnalisés, persistance du secteur de

démarrage de volume

Chaque système avait une variante unique du backdoor avec sa propre configuration

Exploitation de sites légitimes pour les

rappels CnC

Techniques anti-forensique

M-TRENDS® 2017 10

Figure 2 : Cycle de vie des cyberattaques

Implantation

Renforcement de la présence au sein de la cible

Repérage initial

Identification des failles exploitables

Compromission initiale

Premier accès à la cible

Accomplis-sement de la mission

Compression et vol des données cibles

Élévation des privilèges

Vol d'identifiants

Mai

ntie

n d'une présence

Repérage interne

Identification des données cibles

Déplacement latéral

La section suivante détaille les évolutions les plus importantes constatées dans le cadre d'investigations sur les auteurs d'attaques financières. Ces évolutions sont illustrées ici sur la base du cycle de vie des attaques.


Compromission initialeAu lieu d'utiliser des thèmes ou des lignes d'objet génériques (« facture », « confirmation de livraison », etc.) que l’on retrouve encore dans de nombreux e-mails de phishing, les auteurs d'attaques financières avancées personnalisent leurs e-mails pour cibler un client, un site ou un collaborateur spécifique.

Figure 3 : E-mai l de phishing personnal isé

La tendance la plus inattendue observée en 2016 est sans doute la pratique consistant à téléphoner aux cibles pour les inciter à activer la macro d’un document de phishing, ou encore pour leur demander l'adresse e-mail personnelle d'un collaborateur afin de contourner les contrôles de protection des comptes e-mail d'entreprise. Lorsqu'un e-mail de phishing ne permet pas d'obtenir un accès à l’environnement cible, les attaquants n’hésitent plus à décrocher leur téléphone pour trouver la faille.

La figure 4 fournit un exemple d'e-mail envoyé à l’un de nos clients suite à une conversation entre l'attaquant et un de ses collaborateurs.

Figure 4 . E-mai l envoyé suite à une conversation té léphonique entre l 'at taquant et un col laborateur

Document infecté

par une macro

M-TRENDS® 2017 12

Figure 5 . Réseau non segmenté d ’une enseigne de la grande distr ibution

Malheureusement, la plupart des réseaux, notamment les réseaux sur lesquels transitent ou résident des informations de carte de paiement, ne sont pas segmentés. Conséquence : la compromission d'un seul point de vente entraîne souvent la compromission de tout l'environnement PCI, faisant des salariés au contact direct des clients des proies de choix pour les attaquants.

RÉSEAU D'ENTREPRISE

SERVEUR DES PIRATES

ENVIRONNEMENT PCI

MAGASIN 1 MAGASIN 2 MAGASIN 3

TERMINAL DE PAIEMENT 1








MAGASIN


1 https://www.fireeye.com/blog/threat-research/2016/05/windows-zero-day-payment-cards.html.

Figure 6 . Technique d 'é lévation des pr iv i lèges des at taquants

Élévation des privilègesLes auteurs d'attaques financières ont fait preuve d’innovation dans l'utilisation de nouveaux outils et techniques d'exploit. Bien que peu utilisé, un outil d'élévation des privilèges a été identifié au cours d'un certain nombre d'investigations. Cet outil exploitait CVE-2016-0167, une vulnérabilité

inconnue jusque-là. L'outil a ainsi permis à des attaquants d'obtenir des privilèges élevés dans des environnements où l'utilisateur initialement compromis n'en disposait pas. La figure 6 reproduit un extrait d'un billet de blog FireEye qui explique la technique d'élévation des privilèges¹.

https://www.fireeye.com/blog/threat-research/2016/05/windows-zero-day-payment-cards.html.

M-TRENDS® 2017 14

Établissement de la persistancePour s'assurer un accès permanent aux entreprises ciblées, les attaquants ont su échapper au système de notation de la réputation intégré aux solutions IDS/IPS et de proxy Web. Pour ce faire, ils ont stocké des backdoors et d’autres outils sur des sites légitimes, dont certains se trouvaient sur les serveurs d’hébergeurs vulnérables, ou dans des référentiels de code tels que GitHub. Malheureusement, dans le cas de sites comme GitHub, la connexion est cryptée par SSL, ce qui signifie qu'en plus d'être hébergée sur un site légitime, la charge active est cryptée, empêchant ainsi l'inspection approfondie des paquets.

Les attaquants ont également utilisé des techniques visant à échapper aux analyses forensiques pour dissimuler plus longtemps leur présence et entraver les investigations. La figure 7 présente un extrait d'un script en batch utilisé par un auteur d'attaques financières pour supprimer les entrées Prefetch, effacer les journaux d'événements Microsoft Windows et supprimer un fichier en toute sécurité. Le script en batch a été exécuté pour dissimuler l'exécution d'un malware qui collectait les informations de carte de paiement en mémoire. La technique est simple, mais les connaissances de l'attaquant dans les artefacts numériques, et le soin pris à les éliminer, témoignent d’un niveau de technicité accru, ainsi que de son intention de persister dans l'environnement.

Figure 7. Script en batch permettant de diss imuler l 'exécution de malwares

L'utilisation par les auteurs d'attaques financières de mécanismes de persistance, tels que la modification du secteur de démarrage de volume (VBR), prouve de façon indéniable qu'ils ont abandonné la pratique du vol avec effraction. Ce mécanisme de persistance a permis aux attaquants de charger leur backdoor avant le système d'exploitation. Ils ont ainsi pu dissimuler leurs backdoors et autres instruments aux outils d'investigation qui s'appuient sur l'API Microsoft Windows. Il s'agit là d'un véritable tournant dans la mesure où les auteurs d'attaques ciblées ont souvent utilisé le système d'exploitation hôte pour établir une persistance, notamment en raison de sa facilité d'utilisation et de sa stabilité. Cette technique avait néanmoins le défaut de créer des artefacts numériques permettant aux techniciens de sécurité de détecter les backdoors même les plus évolués au seul moyen d’indicateurs

de compromission (IOC) ou de techniques de traque. La modification du secteur de démarrage du volume (VBR) ne présente pas cet inconvénient. Si la modification du VBR était encore rarement utilisée au début de l'année 2016, elle s'est généralisée au cours des douze mois suivants, au point de devenir la méthode privilégiée des attaquants pour maintenir l'accès à certains environnements. Dans un environnement en particulier, la modification du VBR a été le seul mécanisme de persistance utilisé, rendant ainsi extrêmement difficile la détection des backdoors chargés en modifiant le VBR.

del /f /q /s %windir%\prefetch\*

reg delete “HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache” /va /f

reg delete “HKLM\Software\Microsoft\Windows\ShellNoRoam\MUICache” /va /f

reg delete “HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache” /va /f

reg delete “HKLM\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache” /va /f

reg delete “HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU” /va /f

reg delete “HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist” /va /f

wmic nteventlog where LogFileName=’File Replication Service’ Call ClearEventlog

wmic nteventlog where LogFileName=’Application’ Call ClearEventlog

wmic nteventlog where LogFileName=’System’ Call ClearEventlog

wmic nteventlog where LogFileName=’PowerShell’ Call ClearEventlog

ren %1 temp000 & copy /y %windir%\regedit.exe temp000 & del temp000

Figure 8 . Modif ications vis ib les entre un VBR infecté et non infecté

Là où il y a de l’argent à gagner, la cybercriminalité financière n’est jamais très loin. Le vol d’informations financières est une spécialisation particulièrement lucrative. C’est pourquoi les entreprises qui traitent ce type de données doivent faire preuve de vigilance face à la sophistication accrue des méthodes employées par les pirates.

Ce qu'il faut retenir :


VBR infecté : Les chaînes ASCI I ont été remplacées par des données binaires .

VBR non infecté : Les chaînes ASCI I standard sont c la i rement présentes .

M-TRENDS® 2017 16

Contournement de l'authentification multifacteur lors des vols d'e-mails d'entrepriseLorsque l’on parle d’e-mail dans un contexte sécuritaire, le réflexe est souvent de penser phishing. Or, nous avons très peu évoqué le fait que le volume d'e-mails volés au fil des ans dépasse probablement celui de toutes les autres formes de vol de données électroniques combinées.

En ce sens, l'élection présidentielle américaine de 2016 a ramené le piratage et le vol d'e-mails au premier plan des préoccupations en matière de cybersécurité. L'année dernière, Mandiant a mené un grand nombre d'enquêtes qui ont révélé comment les attaquants accèdent aux e-mails, en contournant la segmentation du réseau et l'authentification multifacteur si nécessaire.

Phishing et délégation ciblant OAuthOAuth est un standard ouvert utilisé par les applications pour autoriser le partage d'informations sans mot de passe. Depuis 2015, Mandiant a observé une augmentation du nombre de campagnes de phishing ciblant les tokens OAuth destinés aux fournisseurs de services cloud, en particulier les services de messagerie électronique. Ces attaques OAuth ne sont pas nouvelles, mais nous avons constaté

une utilisation croissante de ces techniques pour accéder aux e-mails et documents des utilisateurs ciblés, en même temps que se généralise l'adoption de services cloud dans les entreprises.

Les tokens OAuth permettent aux attaquants de contourner les dispositifs d'authentification multifacteur pour accéder aux ressources cloud d'un utilisateur ciblé (e-mails, calendrier, documents partagés). C’est ainsi que Mandiant a découvert l’utilisation des techniques suivantes pour compromettre les utilisateurs de la messagerie Google G Suite d'une entreprise :

1. L'attaquant s'inscrit et crée une application Google malveillante.

2. L'attaquant envoie des e-mails de phishing contenant un lien permettant d'associer l'application malveillante au compte Google de l'utilisateur.

3. Lorsque l'application malveillante de l'attaquant obtient l'autorisation, ce dernier peut accéder aux données de l'utilisateur, même après réinitialisation du mot de passe du compte.

La figure 9 est un exemple d'e-mail de phishing découvert par Mandiant, dans lequel le groupe APT28 se faisait passer pour le Support Google.

Figure 9.

Pour évaluer la légitimité de « Google Scanner », l'utilisateur devait cliquer sur la flèche vers le bas située en regard de « Google Scanner » pour révéler les informations du développeur et l'URL de redirection malveillante.

Figure 11 .

Figure 10.Le lien « Permit Scanning » inséré dans l'e-mail utilisait un raccourcisseur d’URL pour masquer l'URL complète, à l’aspect plus suspect, et échapper ainsi à l'inspection du contenu des liens. Lorsque l'utilisateur cliquait dessus, il lançait le site légitime Comptes Google. Dans ce cas, l'utilisateur voyait les images par défaut, le nom Google Scanner et les signes caractéristiques de la sécurité du site dans la barre d'adresse.


M-TRENDS® 2017 18

Figure 12 .

Lorsque l'utilisateur cliquait sur le bouton « Allow », l'application malveillante obtenait un token OAuth avec accès complet permettant de lire, écrire et supprimer le contenu des comptes Gmail et Google Drive de l'utilisateur.

Dans la mesure où la plupart des autorisations sont octroyées sur une connexion cryptée, il est pratiquement impossible de surveiller ce type d'activité au niveau de l'hôte, tout comme il est extrêmement difficile de la détecter sur le réseau. Dans certains cas, comme dans l'exemple ci-dessus, l'autorisation est transmise via HTTPS.

Le moyen le plus efficace que nous ayons trouvé pour identifier ces types d'attaques consiste à utiliser la console d'administration du fournisseur de services pour auditer les applications autorisées connectées à un compte, ainsi que les authentifications de tokens OAuth. Dans Google G Suite, ces informations sont disponibles dans le journal d'audit des tokens OAuth. Une fois qu'un expert en forensique a identifié les comptes compromis, il peut pousser l'analyse plus loin afin de déterminer comment l'attaquant a eu accès au compte.

Services Web Microsoft Exchange Les services Web Microsoft Exchange (EWS) offrent la possibilité d'accéder programmatiquement via HTTPS aux données stockées dans Microsoft Exchange. Bien que l'authentification multifacteur soit prise nativement en charge dans Outlook Web Access (OWA) et via la fonction « Authentification moderne » dans Office 365 sur Microsoft Azure, les instances d'Exchange hébergées en interne n'offrent pas cette possibilité. Cela signifie que les implémentations d'EWS et ActiveSync sur les instances d'Exchange sur site permettent uniquement l'authentification à un seul facteur. De même, certaines entreprises n'ont pas encore activé le nouveau mécanisme d'authentification dans Office 365 en raison de l’incompatibilité de certains clients d’ancienne génération sur les ordinateurs ou terminaux mobiles.


Utilisation d'un script PowerShell pour la collecte d'e-mails via EWSMandiant a observé que des attaquants exploitaient l'authentification mono-facteur d'EWS pour récolter des e-mails dans les boîtes aux lettres des utilisateurs. Pour les instances hébergées en interne, cette opération peut être effectuée via Internet. Par ailleurs, lorsque les attaquants ne peuvent pas accéder directement à un serveur de messagerie via Internet, ils se déplacent latéralement vers les serveurs Exchange pour y faire leur moisson d’e-mails. Ce mouvement latéral est souvent assuré via un backdoor de shell Web que les attaquants placent sur le serveur — par exemple du contenu ASP (Active Server Pages) ou des extensions ISAPI (Internet Server Application Programming Interface) pour services IIS (Internet Information Services) à caractère malveillant. Mandiant a également observé que certains attaquants

installaient des tunneliers RDP (Remote Desktop Protocol) pour se connecter à partir du serveur Exchange, ce qui leur permettait de contourner les contrôles de sécurité périmétrique et d'établir une connexion RDP sur le serveur via Internet.

APT29 a utilisé un script PowerShell personnalisé pour récolter le contenu de boîtes aux lettres Exchange à l'aide d'EWS. Les attaquants ont tunnélisé le trafic vers le serveur Exchange via des serveurs intermédiaires, puis utilisé des méthodes d'API EWS exposées à Internet pour siphonner le contenu des boîtes aux lettres des utilisateurs.

La figure 13 illustre la ligne de commande de ce script PowerShell, qui a permis aux attaquants de cibler des utilisateurs spécifiques et de préciser le nombre de jours d'e-mails à extraire du serveur.

C:\\windows\\system32\\cmd.exe /c “powershell -ep bypass -f Dump.ps1 -Domain [DOMAINE] -User [NOM D'UTILISATEUR] -Password [MOT DE PASSE] -Mailbox [ADRESSE E-MAIL] -Days 1 -OutputFolder [DOSSIER DE SORTIE] -EWSUrl [URL EWS]”

Figure 13 . Ligne de commande PowerShel l du scr ipt de s iphonage de boî te aux let tres v ia EWS .

Dans une configuration par défaut, cette technique laisse très peu de traces identifiables par les experts en forensique, surtout si l'attaquant supprime définitivement le résultat de la commande.

M-TRENDS® 2017 20

Délégation de boîtes aux lettresMandiant a également découvert que des attaquants du groupe APT29 utilisaient la délégation de boîtes aux lettres pour accéder aux boîtes mail d'autres utilisateurs. Concrètement, cette méthode permet à un compte de collecter les e-mails de plusieurs comptes.

Les experts en forensique doivent rechercher les exécutions réussies de l'applet de commande Add-MailboxPermission avec ID d'événement 1 dans le journal des applications de MSExchange Management. Cet événement identifie les autorisations, la cible et le bénéficiaire de la délégation. Les activités malveillantes se caractérisent généralement par un compte unique qui bénéficie d'un accès délégué à plusieurs boîtes aux lettres dans un court laps de temps, ou par un compte qui bénéficie d'un accès délégué complet.

La figure 14 présente un exemple de délégation réussie consignée dans le journal des événements.

Figure 14 . Exemple d 'entrée du journal des événements pour une exécution réussie de l 'applet de commande Add-Mai lboxPermiss ion avec accès complet

Cmdlet succeeded. Cmdlet Add-MailboxPermission-++-{AutoMapping=False, User=[ADRESSE E-MAIL], AccessRights={FullAccess}, InheritanceType=All, Identity=[NOM AD UNIQUE]}-++-


Recommandations tactiquesParmi les mesures recommandées pour détecter ces attaques, citons tout d’abord l’audit des modifications apportées à l'infrastructure de messagerie ou d'authentification multifacteur.

• Activation de l'authentification multifacteur pour la messagerie — Pour votre second facteur d'authentification, Mandiant recommande l'utilisation d'une application de token matériel TOTP sur smartphone. Évitez les technologies d'authentification via SMS ou le certificat d’un terminal, car ces solutions sont plus faciles à contourner.

Si votre entreprise utilise Microsoft Office 365, assurez-vous que l'option « Authentification moderne » est activée et que les clients utilisent la bibliothèque ADAL (Azure AD Authentication Library). Notez que cette option empêchera les clients mobiles et PC d’ancienne génération de s'authentifier au service.Évitez d'exposer directement à Internet les serveurs Exchange hébergés en interne, vu qu'EWS et ActiveSync ne prennent pas en charge l'authentification multifacteur sur ces systèmes. Pour accéder à leurs e-mails, obligez les utilisateurs à se connecter au réseau d'entreprise via un VPN qui impose l'authentification multifacteur.

• Analyse des liens dynamiques — Effectuez une analyse des liens dynamiques pour inspecter le contenu des e-mails. Les utilisateurs sont généralement plus susceptibles de reconnaître une URL malveillante sous sa forme étendue.

• Sensibilisation des utilisateurs aux risques de sécurité liés à la connexion d'applications à leurs comptes — Des actions de pédagogie devront par ailleurs être menées pour apprendre aux utilisateurs à déterminer le caractère malveillant d’une application ou ses demandes excessives d’autorisation d'accès à leur compte. Apprenez-leur à vérifier quels terminaux et applications sont autorisés à accéder aux données de leurs comptes. Des sites tels que Google et Facebook rappellent régulièrement aux utilisateurs de vérifier leurs paramètres de sécurité, ainsi que les applications et terminaux connectés.

• Audit des applications connectées — Auditez régulièrement les applications qui utilisent OAuth pour accéder aux données des utilisateurs. Assurez-vous que les applications autorisées sont légitimes et répondent à un besoin métier réel.

• Optimisation de la journalisation PowerShell — Dans sa configuration par défaut, l'utilisation de PowerShell fait l'objet d'une journalisation très limitée, mais il existe des options permettant d'accroître le niveau de journalisation. Ce sujet a d’ailleurs fait l’objet d’un billet sur le blog de FireEye consacré à la recherche sur les menaces². L’intérêt de la journalisation des modules et de la journalisation des blocs de script est qu’elle peut aider les experts en forensique à identifier les commandes PowerShell malveillantes exécutées par les attaquants.

• Audit des inscriptions à l'authentification multifacteur — Générez des alertes lorsque les utilisateurs enregistrent des terminaux pour l'authentification multifacteur. Mandiant recommande de surveiller les événements suivants :

– Enregistrements de token ou de terminal. Vérifiez si les utilisateurs ont plusieurs terminaux connectés à leur(s) compte(s).

– Utilisateurs avec codes de contournement d'urgence ou un mode PIN uniquement.

– Données de localisation des connexions, telles que le pays ou l’adresse IP. Vérifiez si les demandes d'authentification proviennent de services d'anonymisation ou de fournisseurs de VPN/d'hébergement.

• Audit de la délégation des boîtes aux lettres Exchange — Auditez et examinez régulièrement les autorisations de délégation octroyées aux boîtes aux lettres dans Exchange.

2 https://www.fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html

https://www.fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html

M-TRENDS® 2017 22

Les actes de fraude sur les réseaux bancaires se sont multipliés dans le monde entier. Ils ont frappé des banques en Asie, Ukraine, Équateur et Inde, entraînant au passage des pertes dépassant les 100 millions de dollars. La généralisation de ces événements prouve, s’il en est, que les criminels financiers considèrent désormais la manipulation de ces réseaux comme une opération rentable.

Les réseaux bancaires dans le collimateur


Étude de cas – Compromissions dans le secteur bancaire asiatiqueDébut 2016, le personnel d'une banque asiatique se trouvait dans l’impossibilité d’accéder à leur contrôleur de domaine, c'est-à-dire le serveur chargé de répondre aux demandes d'authentification de sécurité au sein d'un domaine Windows Server. Une enquête interne a alors découvert qu'un compte suspect avait été créé avec des privilèges d'administrateur de domaine, offrant de fait un accès illimité à des milliers de systèmes Windows (tant serveurs que clients) au sein de l'entreprise. La banque s'est rapidement rendu compte que de nombreux systèmes hôtes avaient été compromis à l'aide d'un script de connexion malveillant, programmé pour distribuer et exécuter le malware de l'attaquant.

Perpétrée deux mois avant la détection de l’attaque, l'intrusion initiale a été pilotée depuis un site distant rattaché au réseau d'une filiale de la banque. Il s’est avéré que les attaquants avaient identifié un système doté d'un accès approuvé à l'infrastructure d'entreprise de la banque, et l'ont exploité pour accéder à son réseau sans se faire repérer. Après avoir établi une persistance dans l'environnement Microsoft Windows, ils ont obtenu un accès d'administrateur de domaine sur plusieurs hôtes.

Les attaquants ont utilisé le Bureau à distance, Tivoli Remote Control et des outils réseau Microsoft intégrés (c’est-à-dire uniquement des outils de gestion d'entreprise légitimes utilisés par le personnel informatique) pour se fondre dans l'environnement de la banque. D’où la grande difficulté à détecter leur présence ou à distinguer leurs comportements malveillants des activités légitimes de la banque.

Nous avons découvert des preuves indiquant qu'après l'implantation de backdoors, les attaquants ont utilisé des fonctionnalités de capture d'écran et d'enregistrement de frappes pour s'emparer des mots de passe des utilisateurs authentifiés. En tout, 30 hôtes présentaient des artefacts générés par un malware de capture d'écran, et plus de 50 profils utilisateur avaient été compromis par un logiciel d'enregistrement de frappes.

Les attaquants ont eu accès à des identifiants et informations.

Au total, la présence d'artefacts de violation de sécurité a été confirmée sur 96 systèmes (26 serveurs et 70 postes de travail). De plus, 30 systèmes se sont révélés porteurs de malwares actifs au moment de l'enquête.

SYSTÈMES

96 26SERVEURS

70POSTES DE TRAVAIL

30SYSTÈMES

PRÉSENCE D'ARTEFACTS DE VIOLATION DE SÉCURITÉ CONFIRMÉE SUR MALWARES ACTIFS SUR

M-TRENDS® 2017 24

Compromissions dans les réseaux bancaires européens En 2016, des attaquants ont pris pour cible des établissements financiers d'Europe et du Moyen-Orient. Dans un des cas sur lesquels Mandiant a été amené à enquêter, les attaquants avaient utilisé PowerShell et Metasploit pour se déplacer latéralement dans l'environnement du réseau bancaire infiltré. Après s'être introduit sur le réseau, l'attaquant a modifié un compte utilisateur du réseau bancaire compromis pour éliminer l'exigence de double regard sur les transferts. Le principe du double regard consiste à exiger que chaque transaction soit électroniquement contresignée : une signature pour initier la transaction et une autre signature pour approuver la transaction. En l’occurrence, l'attaquant est parvenu à compromettre un compte utilisé pour initier les transactions et un compte utilisé pour les approuver. La connaissance du processus de double regard et de la possibilité de contourner cette exigence par l’élévation de privilèges laisse à penser que l'attaquant possédait une très bonne maîtrise des opérations du réseau bancaire en question. S'il avait utilisé les deux comptes, l'« approbateur » aurait probablement été notifié des transactions par les processus d'alerte normaux. Les transactions illicites auraient donc vraisemblablement été remarquées plus tôt.

Après avoir pris le contrôle du processus, l'attaquant a commencé à effectuer une série de transactions interbancaires d'une valeur de plusieurs millions de dollars. Sur les transactions interbancaires, les banques disposent généralement d'un délai de grâce pendant lequel elles peuvent rappeler les transferts. Pour contourner ce délai, l'attaquant a effacé les journaux d'événements puis reformaté les volumes système sur des équipements situés à l'intérieur et à l'extérieur de l'environnement du réseau bancaire. Ces opérations ont entraîné des interruptions de service qui ont retardé l'identification des transactions frauduleuses par la banque, donnant ainsi davantage de temps à l'attaquant pour retirer les fonds transférés.

Au total, nous avons confirmé la compromission de 45 systèmes : 29 serveurs et 16 postes de travail.

Les pirates étaient parvenus à se fondre dans les environnements infiltrés, dont ils utilisaient scrupuleusement les conventions de nommage. Cependant, ils semblaient privilégier des outils appelés « hkcmd.exe », « igfxpers.exe » et « msdtc.exe ». Le simple fait qu'un fichier binaire ait été nommé « hkcmd.exe » ne signifie pas qu'il s'agissait toujours du même malware. Ils utilisaient souvent C:\Windows pour le malware et celui-ci n'était pas signé.

Nous avons constaté l'utilisation de « MsOutData » (qui stockait un blob binaire crypté) dans les deux environnements, ainsi que la valeur de registre « SOFTWARE\Classes\NR\Content Setting », qui stockait les données de configuration du malware. Ils ont utilisé une clé XOR à 4 octets identique dans tous les cas. Nous avons observé ce « paramètre de contenu » pour la première fois lors d'une investigation menée sur une violation de sécurité dans le secteur bancaire en 2014.

Nous avons constaté une utilisation systématique des mêmes touches XOR à 4 octets pour la configuration du malware. Au cours de nos différentes missions, nous avons remarqué que certaines clés RC4 étaient utilisées systématiquement pour le malware NESTEGG déployé. Nous avons également observé que les attaquants utilisaient les mêmes mots de passe de ligne de commande pour lancer les outils. Par exemple « [2016-02-24 14:25:04] At3 | | | c:\windows\msdtc.exe | -x nf300karjfs9e8rhtQJ3u9gh -e Nla » dans certains cas et « At1 | | | C:\windows\hkcmd.exe | -x nf300karjfs9e8rhtQJ3u9gh -e LogonHours » dans les autres.

Dans toutes nos missions, nous avons constaté que les attaquants configuraient leur malware pour qu'il s'exécute lors du démarrage en mode sans échec (SAFEBOOT). (Les clés de registre SAFEBOOT étaient mises à jour.) Les attaquants ont utilisé « Windows Firewall Remote Management » (Gestion à distance du Pare-feu Windows) ou « Microsoft Update » comme nom de règle du pare-feu, l’objectif étant de mettre à jour les règles de pare-feu de façon à autoriser l'accès au réseau. Ensuite, les événements ont suivi un schéma chronologique identique (sans doute parce qu'ils utilisaient la même famille de backdoors). Les attaquants ont eu le plus souvent recours à un malware de capture d'écran ou d'enregistrement de frappes. Les fichiers de sortie utilisaient les mêmes conventions de nommage.

25TENDANCES EN

MATIÈRE D'ATTAQUES

Nous avons également constaté des modifications au fil du temps. Au départ, les enregistrements de frappes étaient stockés dans des fichiers « .cache » à l'intérieur du répertoire Internet Explorer. Les attaquants ont ensuite commencé à utiliser des fichiers « .cer ». Ils ont eu recours à une fonctionnalité de type « sdelete » pour renommer le fichier avec un nom aléatoire (même longueur, juste une série de caractères alphanumériques aléatoires) avant de remplacer le contenu du fichier. Ces artefacts ont été observés sur toutes nos missions.

Entre les capacités dont ont fait preuve les pirates, notamment dans la conception d’un malware sur mesure, le degré de sophistication de l'attaque et l'infiltration de l'infrastructure CnC, tout indique qu'il s'agit d'un groupe très bien organisé et doté d'importants moyens financiers, et que les attaques avaient été préparées et ciblées avec une grande précision.

SERVEURS

29

POSTES DE TRAVAIL

16

SYSTÈMES45

NOMBRE TOTAL DE SYSTÈMES TOUCHÉS

Comparaison des investigations sur les violations de sécurité dans le secteur bancaire Après comparaison des tactiques, techniques et procédures, et décodage des scripts utilisés dans les cas de violations de sécurité que nous venons d’évoquer, il est apparu clairement que le même groupe de cyberpirates avait été à la manœuvre. Plusieurs similitudes ont émergé.

NOMMAGE DES MALWARES

RESSOURCES DU REGISTRE

CRYPTAGE

AUTRES TACTIQUES, TECHNIQUES ET PROCÉDURES

M-TRENDS® 2017 26

FireEye as a Service — Visibilité sur les menaces émergentesFireEye as a Service (FaaS) offre aux entreprises des capacités de détection, d'investigation et d'intervention qui leur permettent de comprendre les menaces dans leur contexte, d'évaluer les risques et de prendre les mesures recommandées. Les équipes FaaS assurent un suivi permanent des entreprises de tous les secteurs aux quatre coins du monde. Elles disposent ainsi d'une perspective unique sur les menaces émergentes et sur les évolutions constantes des tactiques, techniques et procédures des attaquants.

27FIREEYE AS A SERVICE — VISIBILITÉ SUR LES MENACES ÉMERGENTES

FaaS : Des réponses plutôt que des alertesLes analystes FaaS passent au crible les compromissions identifiées dans toutes les régions et tous les secteurs d'activité pour donner à nos clients une vue complète des modes opératoires de chaque attaque. Les dirigeants disposent ainsi d’un tableau complet de l’exposition aux risques de leur entreprise, avec en prime une protection contre les menaces avancées et des capacités d'intervention inégalées.

M-TRENDS® 2017 28

OBSERVATION N° 1 Attaques nouvelles, techniques anciennes

En août 2016, l'équipe FaaS a découvert des traces d'un nouvel événement de spear-phishing lancé par APT29 contre l'un de nos clients du secteur high-tech aux États-Unis.

APT29 est un groupe de cyberpirates russes qui semblent se spécialiser dans le vol de données. Ses cibles de prédilection : les gouvernements occidentaux, organes législatifs et de relations extérieures, sous-traitants des pouvoirs publics et autres établissements d’enseignement supérieur.

Face à cette menace, l'équipe FaaS a mené des opérations de traque proactive sur les réseaux de tous ses clients et réalisé des analyses forensiques chez les clients précédemment ciblés par APT29.

Suite à ces opérations, l'équipe FaaS a envoyé les nombreux échantillons de malwares prélevés à l'équipe FLARE (FireEye Labs Advanced Reverse Engineering).

Leurs analyses ont conduit à l'identification de trois nouvelles familles de malwares APT29 : les documents à macro malveillante (VERNALDROP), qui déposent un téléchargeur (TADPOLE) permettant d'initier la première phase, lequel récupère un backdoor destiné à la deuxième phase ; ainsi que la backdoor destinée à la deuxième phase (SPIKERUSH).

En mars 2016, l'équipe FaaS a observé une grande campagne de phishing contre des clients FireEye et FaaS de secteurs comme la grande distribution, l'hôtellerie et les loisirs.

FireEye a pu attribuer ces attaques à FIN8,³ un groupe aux motivations d'ordre financier qui s’était précédemment illustré par des campagnes de spear-phishing sur mesure. Pour cette nouvelle offensive, le groupe envoyait par e-mail des documents Microsoft Word contenant une macro qui téléchargeait une charge active à partir d'un service de stockage dans le cloud ou d'un site web contrôlé par les cyberpirates. Le chargeur installait ensuite une variante de PUNCHBUGGY, fournissant aux cyberpirates un accès à distance à l'ordinateur de la victime.

Lors de ses investigations, l'équipe FaaS a également remarqué que les cyberpirates avaient modifié leur approche en se faisant passer pour un consultant Mandiant. Pour ce faire, ils ont modifié le titre et le contenu de l'e-mail de phishing, indiquant au passage qu'ils savaient qu'ils avaient été repérés.

EXEMPLE N° 1 Nouvelle menace de spear-phishing du groupe APT29

EXEMPLE N° 2 Cyberphishing financier

Nouvelle attaque ne rime pas toujours avec nouvelles techniques. Pour prendre leurs cibles à revers, certains attaquants continuent d'utiliser les bonnes vieilles méthodes. De plus en plus, ils ciblent les cadres dirigeants ou d'autres postes à responsabilités, qu’ils parviennent à piéger en les incitant à activer un malware qui leur donnera accès à l'environnement de l’entreprise.

3 Les groupes de menaces APT à caractère financier sont classés par FireEye dans la catégorie FIN, tandis que les groupes de menaces APT financés par un État appartiennent à la catégorie APT.

Il m'a été recommandé de vous contacter concernant le litige survenu mardi. Veuillez consulter le document ci-joint qui détaille l'incident.

Pourriez-vous examiner la plainte et me communiquer votre avis sur la question ?

Merci.

Les e-mails de spear-phishing sont aujourd’hui si crédibles et détaillés qu’ils parviennent même à tromper les professionnels de la sécurité les plus avertis. On ne s’étonnera donc pas de la hausse du nombre d'attaques réussies.

NOUVEAU TEXTE DE PHISHING (traduction libre)

FIN DU TEXTE DE PHISHING

29FIREEYE AS A SERVICE — VISIBILITÉ SUR LES MENACES ÉMERGENTES

OBSERVATION N° 2 Techniques courantes identifiées par analyse de données sectorielles

En juin 2016, FaaS a mené une investigation approfondie sur des incidents de cybersécurité survenus chez des clients high-tech aux États-Unis. Si ces incidents impliquaient des cyberpirates et malwares différents, ils présentaient néanmoins des similitudes dans leur façon d'utiliser des services légitimes pour accéder au réseau.

Les deux groupes identifiés utilisaient notamment des services Web légitimes tels que GitHub et Microsoft TechNet pour communiquer avec les backdoors. Ces communications recelaient des instructions complètes de commande et contrôle destinées à leurs victimes, ou étaient utilisées pour mettre à jour l'infrastructure de commande et contrôle via le backdoor associé.

Suite à son observation de ces différents groupes ayant recours à des services légitimes pour s'infiltrer dans les environnements, l'équipe FaaS a raffiné l'analyse des flux NetFlow et effectué une analyse de l'environnement de chacun de nos clients high-tech. L’objectif : identifier les connexions suspectes à GitHub ou à TechNet révélatrices de ces backdoors. FaaS n'a identifié aucune nouvelle compromission chez nos clients à ce jour.

En novembre 2016, FireEye a observé chez un client des activités destructrices portant la marque de SHAMOON, un malware rencontré lors d'attaques de sabotage antérieures.

Le client en question opère dans le domaine des infrastructures critiques dans un pays du Moyen-Orient. Le malware identifié mène des actions destructrices sur les systèmes d'exploitation Windows, utilise un pilote RawDisk d'Eldos signé et empêche le démarrage des disques lorsqu'il est complètement exécuté.

Bien qu'il s'agisse d’un backdoor entièrement fonctionnel, SHAMOON a essentiellement été utilisé pour détruire les données sur disque et rendre les systèmes inutilisables. Le modèle conceptuel des malwares SHAMOON laisse à penser que l'implantation n’est exploitée qu’après que les cyberpirates ont accédé au réseau victime et obtenu des identifiants réseau. Une fois exécuté, SHAMOON utilise les identifiants réseau pour propager un injecteur multi-composants sur les systèmes présents sur le réseau. L'un de ces composants, l'effaceur, détruit ensuite les données sur le système cible. Les fonctionnalités destructrices du malware s’appuient sur un composant pilote secondaire et légitime, utilisé pour accéder au disque dur. Ce composant est caractéristique de cette famille de malwares.

Les traces numériques initiales présentent plusieurs similitudes avec le malware SHAMOON utilisé contre Saudi Aramco en 2012 et contre d'autres cibles.

EXEMPLE Nouvelles menaces dans l’industrie high-tech

EXEMPLE Malware SHAMOON

OBSERVATION N° 3 L’état de la connaissance actuel aide à identifier de nouvelles menaces

• Assurez-vous que tous vos logiciels et certificats sont à jour.

• Contrôlez l'installation des logiciels de manière centralisée pour garantir que seuls les logiciels autorisés sont installés.

• Utilisez des listes blanches d'applications pour mieux contrôler les programmes habilités à s’exécuter sur tel ou tel hôte.

• Configurez le proxy Web en mode de liste blanche et bloquez les sites non catégorisés.

• Pensez à revoir les paramètres Office et à désactiver l'exécution des macros.

• Sensibilisez le personnel aux risques de l'ingénierie sociale et des attaques de phishing.

• Limitez les autorisations administratives associées aux comptes d'utilisateurs.

• Activez le pare-feu basé sur l'hôte.• Assurez-vous de bien sauvegarder

les données de vos systèmes critiques.

• Assurez-vous que les dernières mises à jour sont installées sur les systèmes de production.

Ces trois observations de l'équipe FaaS ont inspiré ces recommandations tactiques pour une protection efficace :

L'analyse constante des données réseau permet à l'équipe FaaS d'identifier rapidement les nouvelles campagnes de menaces et d'attaques.

Le suivi des dernières tendances et activités dans ce domaine vous aidera à identifier les attaques avant qu'elles ne frappent. Face aux nouvelles menaces qui apparaissent chaque jour, la mise en place d'une cyberveille performante permet de limiter les dommages en cas de violation de sécurité.

M-TRENDS® 2017 30

Dernières tendances en matière de défense

31DERNIÈRES TENDANCES EN MATIÈRE DE DÉFENSE

Adaptation des dispositifs de défense à la nouvelle normalitéFace aux innovations des attaquants et à l’évolution des menaces, les départements de sécurité des entreprises doivent remettre à plat le modèle même de leurs dispositifs de sécurité informatique pour s'assurer de leur adaptabilité à l'évolution des menaces et des risques. Nos investigations et nos bilans stratégiques nous ont permis d'identifier quatre aspects fondamentaux du dispositif de sécurité à réévaluer régulièrement.

Maintien de la visibilitéDans le contexte de la cybersécurité, le terme « visibilité » fait référence à la capacité à détecter, signaler et investiguer des attaques, c.-à-d. la possibilité de « voir » les cyberactivités malveillantes. Il s'agit d'une capacité essentielle pour toute équipe de sécurité dans la mesure où, dans une infrastructure, tout angle mort peut entraîner des problèmes majeurs. Un exemple relativement courant d'un manque de visibilité est l'absence de données de sécurité issues des terminaux de l’entreprise. En raison de l'évolution constante des cybermenaces, des angles morts peuvent apparaître inopinément. D’où l’importance de la cyberveille pour identifier ces zones d’ombre à mesure que les auteurs de menaces changent de tactiques.

Windows PowerShell, par exemple, est un vecteur d'attaque relativement récent que la plupart des entreprises négligent de surveiller et dont les activités sont rarement journalisées. Or, il est utilisé de plus en plus fréquemment à des fins malveillantes. Dans bon nombre d'environnements, PowerShell ne laisse aucune trace de son utilisation. En fait, la plupart des entreprises n'ont aucun moyen de savoir qui y accède et quand. On peut remédier en partie au problème par une montée de version (notamment depuis la version 2.0) vers des moutures plus récentes dont la journalisation a été améliorée (la version 5.0 propose un éventail d'informations de sécurité bien plus large) et par une journalisation supplémentaire, par exemple avec Sysmon. En un mot, pour bénéficier d'une bonne visibilité sur les menaces et savoir où intervenir en cas d'incident, il est devenu indispensable de surveiller les événements PowerShell, ce qui n'était pas le cas il y a cinq ans4.

4 « Greater Visibility Through PowerShell Logging » (https://www.fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html)

Quelques questions à se poser en matière de sécurité dans le cloud :

Les entreprises peuvent-elles voir les fichiers téléchargés à partir d'un site de stockage dans le cloud ?

Les connexions administrateur peuvent-elles être surveillées et analysées ?

L'entreprise peut-elle détecter un provisionnement non autorisé d'infrastructure cloud ?

En cas d’incident de sécurité, quelles informations le fournisseur de services cloud peut-il communiquer à votre entreprise pour lui permettre de corréler et contextualiser toutes ses données ?

La sécurité dans le cloud est un autre aspect de l'environnement à surveiller, ce qui est loin d'être le cas dans de nombreuses entreprises.

Il existe de nombreux moyens d'améliorer la visibilité sur les transactions dans le cloud, mais cela demande une certaine adaptation de la part des équipes de sécurité dans la mesure où les menaces sortent du périmètre habituel. Même si la visibilité ne constitue pas la solution miracle en cybersécurité, elle améliore la capacité d'une entreprise à détecter et neutraliser les menaces représentant un risque pour l'entreprise.

Dans un contexte de mobilité croissante des effectifs, la notion du périmètre réseau a considérablement évolué. Les frontières et points de démarcation s'estompent à mesure que le réseau s'étend. Une bonne visibilité est nécessaire non seulement au sein du réseau, mais aussi au niveau des points de connexion des fournisseurs, des terminaux mobiles, des filiales et d'autres interconnexions. Il est devenu primordial de pouvoir surveiller les terminaux, les mettre à jour et les soumettre à des analyses forensiques hors connexion au réseau. Ces différents facteurs ont fait naître un nouveau besoin, celui d'une architecture de capteurs flexible, capable d'étendre la capacité de détection, d'investigation, de collecte et de traitement des données à moindre coût.

M-TRENDS® 2017 32

Réévaluation des ressources critiques pour l'entreprise (compréhension de l'infrastructure)Les médias et les réglementations se concentrent sur les données sensibles (informations d'identification personnelle, données médicales personnelles, données PCI) et sur les violations de sécurité. Cela dit, chaque entreprise devrait se demander quels systèmes et flux de données internes doivent être protégés pour garantir la continuité de ses activités. Les équipes Mandiant ont observé une hausse des attaques disruptives où les attaquants ne cherchent pas à voler les données de l'entreprise, mais plutôt à perturber

ses processus métiers essentiels. Quand bien même l'objectif premier de l'attaque n'est pas de perturber des activités, comme c'est le cas des ransomwares, l'entreprise peut néanmoins subir des dommages collatéraux. Ainsi, les ransomwares qui verrouillent un système stratégique peuvent perturber rapidement les activités de l'entreprise. Comme il ne s'agit pas dans ce cas de bloquer l'exfiltration des données, les équipes de sécurité doivent trouver des moyens de les neutraliser. Les entreprises doivent examiner chaque scénario possible et utiliser des guides tactiques pour orienter leurs procédures.

Elles doivent évaluer les contrôles déployés pour limiter les risques de perturbation de leurs activités :

L'équipe de sécurité a-t-elle identifié les systèmes critiques (pas simplement les datastores) ? Ces systèmes sont-ils régulièrement corrigés et leur protection a-t-elle été renforcée ?

Si une attaque destructrice venait à paralyser l'infrastructure, comment les principaux acteurs de l'entreprise pourraient-ils travailler ? Des contrats sont-ils en place pour déployer rapidement une infrastructure de postes de travail virtuels (VDI) pour ces personnels clés, voire une batterie de serveurs virtuels le cas échéant ?

Les systèmes critiques, notamment les bases de données, sont-ils sauvegardés ? Ces sauvegardes sont-elles protégées contre les malwares susceptibles d'infecter d'autres parties du réseau ?

Existe-t-il des processus manuels capables de remplacer temporairement des systèmes d'entreprise jusqu'à ce que les réseaux soient reconstitués ?

La continuité des activités est-elle prise en compte dans le plan d'intervention sur incidents ?


Segmentation du réseau et ségrégation des donnéesLors de ses interventions sur incidents et de ses bilans de sécurité, Mandiant constate encore que la segmentation du réseau et la ségrégation des données restent trop souvent négligées. Or, toute impasse sur ces principes de base complique sérieusement la détection et la remédiation, avec pour conséquences une augmentation de l’impact de toute violation. L'absence de segmentation (des données et du réseau) facilite les déplacements latéraux, comme l'illustrent les violations de sécurité observées dans le secteur financier en Asie-Pacifique et dans l'EMEA.

C’est là tout l’intérêt de la segmentation : restreindre les mouvements des auteurs de menaces dans l'environnement des victimes, et ainsi prévenir l'accès aux données sensibles. En général, les pare-feux et les réseaux locaux virtuels (VLAN) sont utilisés pour segmenter le réseau en zones de confiance. Une zone de confiance peut héberger les informations d'identification personnelle, une seconde les données propriétaires et une autre des terminaux de paiement. La segmentation réseau limite ainsi les possibilités de déplacement d'un attaquant dans l'environnement une fois qu'il s'y est introduit. Elle restreint en effet son accès à une seule zone de confiance et limite par là même les données accessibles. L'attaquant a besoin de plus de temps et de compétences pour réussir à accéder au réseau et se déplacer, ce qui donne aux entreprises la possibilité de détecter ses activités. Grâce aux contrôles d'authentification et d'autorisation appliqués au niveau du système ou des données, il est possible de cloisonner encore plus l'environnement et d'appliquer la séparation des fonctions et le principe du droit d'accès minimal aux identifiants des utilisateurs. La ségrégation des données limite la capacité d'un pirate à accéder aux données de l'entreprise à l'aide d'un seul identifiant compromis.

La surveillance du trafic réseau entre les différentes zones de confiance segmentées permet aux entreprises de détecter des flux de trafic anormaux, susceptibles de révéler une compromission. L'analyse des comportements utilisateur entre les différentes zones peut donner aux entreprises une visibilité plus granulaire sur les schémas de connexion, ce qui permet de détecter plus facilement une utilisation malveillante des identifiants et de concentrer leurs outils de surveillance avancés sur les données les plus critiques.

Meilleure sensibilisation aux risquesPar le passé, les dirigeants d’entreprise recevaient un rapport annuel ou semestriel sur l'état de la sécurité dans leur entreprise. Avec la multiplication des violations de sécurité dans tous les secteurs d'activité, la cybersécurité est devenue un risque pour toute l'entreprise. D’où l’importance de l’intégrer aux stratégies d'entreprise et aux nouveaux circuits de vente et de distribution.

Nous avons constaté une amélioration du niveau général de connaissance du risque, grâce notamment à la cyberveille et la couverture médiatique des violations de cybersécurité, des attaques par ransomware et d'autres actes de sabotage. Toutes les entreprises sont vulnérables : cette prise de conscience du risque à tous les niveaux de la hiérarchie joue un rôle essentiel dans la mise en œuvre et la gestion de stratégies visant à limiter le risque et l'impact des attaques. Pour respecter les nouvelles réglementations en vigueur, les dirigeants doivent surveiller et reconnaître par écrit qu'ils acceptent les risques de sécurité encourus et valident les dispositifs de cybersécurité en place. Au vu de la multiplication et de la sophistication croissante des cyberattaques, les entreprises, quels que soient leur taille et leur secteur d'activités, doivent faire de la gestion des cyberrisques une priorité, et pas seulement pour les équipes de sécurité. À tous les niveaux de la hiérarchie, les acteurs clés doivent jouer un rôle actif dans la gestion des cyberrisques et la préparation aux violations de données.

Ensemble, ils doivent élaborer un guide tactique sur les cyberisques⁵. Il appartient aux entreprises de développer un plan d'action post-diagnostic pour se préparer aux risques et attaques futurs.

5 https://www2.fireeye.com/cyber-risk-playbook-web.html

Même si les compromissions sont inévitables, la segmentation du réseau et la ségrégation des données, alliées à une visibilité suffisante pour détecter les comportements et flux de trafic anormaux entre les zones de confiance, peuvent aider l'entreprise à détecter les attaques et limiter l'impact et le risque associés aux compromissions.

Elles doivent évaluer les contrôles déployés pour limiter les risques de perturbation de leurs activités :

L'équipe de sécurité a-t-elle identifié les systèmes critiques (pas simplement les datastores) ? Ces systèmes sont-ils régulièrement corrigés et leur protection a-t-elle été renforcée ?

Si une attaque destructrice venait à paralyser l'infrastructure, comment les principaux acteurs de l'entreprise pourraient-ils travailler ? Des contrats sont-ils en place pour déployer rapidement une infrastructure de postes de travail virtuels (VDI) pour ces personnels clés, voire une batterie de serveurs virtuels le cas échéant ?

Les systèmes critiques, notamment les bases de données, sont-ils sauvegardés ? Ces sauvegardes sont-elles protégées contre les malwares susceptibles d'infecter d'autres parties du réseau ?

Existe-t-il des processus manuels capables de remplacer temporairement des systèmes d'entreprise jusqu'à ce que les réseaux soient reconstitués ?

La continuité des activités est-elle prise en compte dans le plan d'intervention sur incidents ?

M-TRENDS® 2017 34

Perspectives d'avenir — Une approche de la sécurité axée sur la cyberveille

La cyberveille aux commandes Comme nous l'avons constaté, l'intégration de la cyberveille contribue au succès des équipes responsables de la sécurité des systèmes d'information. Jusqu'ici, la plupart des entreprises considéraient la cyberveille comme un plus plutôt qu'une nécessité. Elles ne réalisaient pas vraiment son importance et son rôle dans la réduction des risques, la prévention, la détection et la neutralisation des menaces. La complexité accrue des circuits de distribution, des stratégies de commercialisation, mais aussi des méthodologies des attaquants a fait naître un nouveau besoin, celui d'une cyberveille efficace, même dans les entreprises qui ne pensaient pas en avoir besoin.

De la réactivité à la proactivité avec la cyberveille L'opérationnalisation de la cyberveille est une tendance qui s'impose de plus en plus au sein des départements de sécurité. Cette évolution est positive, pour autant bien sûr que le marché se débarrasse de certaines idées préconçues. Plusieurs points méritent d'être soulignés :

La cyberveille joue un rôle majeur dans la plupart des nouvelles approches de défense décrites dans cette section, y compris l'automatisation et la traque des menaces. De plus en plus, les entreprises utilisent la cyberveille pour déterminer et actualiser leur propre profil de menaces. Que ce soit par l'étude des tendances au sein de leur réseau, l'analyse des menaces affectant leur secteur, leur zone géographique, des entreprises aux profils similaires, ou une combinaison de ces éléments, l'opérationnalisation de la cyberveille permet de caractériser et de contextualiser les activités des menaces en présence. Les dirigeants et cadres s'appuient sur ces connaissances pour mieux comprendre et anticiper les risques posés à l'entreprise. Cela leur permet en retour d'entreprendre des actions tactiques plus efficaces en termes de traque, d'identification, de priorisation et d'intervention. Le schéma suivant montre comment le flux de cyberveille permet d'optimiser ces opérations.

La cyberveille est plus qu'une appliance, un flux de données ou des informations brutes, la cyberveille inclut une analyse et une appréciation de la situation.

La cyberveille livre des éléments précis, pertinents et instantanés sur un événement ou une série d'événements visant à améliorer le processus décisionnel.

La cyberveille doit permettre de comprendre les caractéristiques du ou des événements, à savoir les motivations, les objectifs et les capacités des auteurs des attaques.

Elle doit au final être le fruit d'une analyse humaine fiable des éléments observés à partir de sources variées.


Figure 15

PROFIL DES MENACES

MODÉLISATION DES MENACES

PLANIFICATION DES DÉFENSES

WORKFLOWS AUTOMATISÉS

INTERVENTION EFFICACE

PLANIFICATION DE LA TRAQUE

PLANS DE PRIORISATION

TACTIQUES

PROFIL DE MENACE MODÉLISATION DES MENACES PLANS DE PRIORISATION TACTIQUES

Cadre de référence des menaces les plus probables pour l'entreprise : objectifs des activités malveillantes, ressources prises pour cible et mode opératoire. Ces connaissances vous permettent d'identifier les risques de façon plus précise, d'aligner le dispositif de défense sur les capacités des attaquants et de définir des plans de priorisation tactiques.

Basés sur les connaissances dérivées du profil des menaces (ressources ciblées et motivation des attaquants), les exercices de modélisation des menaces offrent une bonne visibilité sur le paysage des menaces, et plus précisément sur celles qui concernent directement votre entreprise. Comprendre les capacités des auteurs de ces menaces, c’est s’assurer que les mesures prises pour aligner et renforcer vos défenses sont liées à des enjeux d'entreprise, et par conséquent justifiées.

Le profil des menaces doit également vous éclairer sur celles qui présentent l'impact le plus élevé pour l'entreprise et qui doivent donc être traitées en priorité.

• Workflows automatisés : Automatisation de la gestion des événements. La remontée des seuls événements potentiellement liés aux menaces graves contribue à une efficacité opérationnelle accrue et une réduction des coûts de la sécurité, tout en garantissant une meilleure allocation du temps consacré aux investigations et interventions.

• Intervention efficace : Une bonne intégration de la cyberveille à ces workflows renseigne sur les opérations des auteurs de menaces impliqués (outils, infrastructure de support, tactiques, techniques et procédures), avec à la clé des interventions plus efficaces. Ainsi, les équipes d'intervention gagnent en efficacité car elles savent ce qu’il faut chercher et où il faut le chercher.

• Bien planifier la traque des menaces : La traque des menaces peut être conçue de manière à se concentrer spécialement sur les menaces prioritaires. Elle guide ainsi l'identification des tactiques, techniques et procédures, des communications, des outils et autres indicateurs opérationnels pour gagner en efficacité tout en évitant toute dépendance vis-à-vis de l'expertise personnelle.

M-TRENDS® 2017 36

Automatisation/orchestrationLa plupart des entreprises ont mis de nombreuses années à développer leur infrastructure informatique et de sécurité, avec au final un patchwork de logiciels et technologies spécialisées. Les données de ces systèmes sont généralement connectées à un genre de système SIEM dont les alertes sont examinées par des analystes SOC chargés de corréler les journaux de ces sources disparates disséminées dans toute l'entreprise. Dans le même temps, le volume considérable d'événements générés a conduit à l'émergence d'un phénomène dit d'accoutumance aux alertes. En conséquence, les alertes critiques finissent par se perdre dans la masse des faux positifs et des données sans intérêt. À tel point que la détection d'une véritable compromission dans les alertes parasites est devenu extrêmement difficile.

Pour faire face à cette déferlante d'alertes et de données, les entreprises se tournent de plus en plus vers des outils et processus de filtrage des données et d'analyse automatisée. Elles permettent ainsi à leurs précieuses ressources de sécurité de se recentrer sur des investigations d'incidents et des interventions plus complexes. C'est tout particulièrement le cas dans les entreprises plus petites dont l'équipe de sécurité se limite à une ou deux personnes. Grâce à l'automatisation, les équipes ne perdent plus de temps à analyser des événements mineurs et répétitifs, et les ressources peuvent être réorientées sur la traque des menaces, la défense proactive et d'autres tâches. L'élaboration de guides tactiques pour les événements répétitifs permet d'automatiser la suppression des faux positifs, mais aussi des alertes mineures et informationnelles pour se consacrer aux alertes critiques et diminuer les délais d'intervention sur incidents.

Traque des menacesLa traque active des menaces est un processus essentiellement humain, réalisé par des professionnels de la sécurité chargés d’examiner les données pour y trouver des preuves d'une intrusion à l'aide de diverses techniques. Même si le processus d'investigation reste identique après l'identification de la menace, la traque diffère d'une investigation axée sur les alertes en ce sens que l'enquête est menée par une personne et non une machine.

Il y a peu de temps encore, la traque active des intrusions sur le réseau était réservée à des experts chevronnés dans des centres de sécurité dotés d'importants moyens. Récemment, nous avons vu des départements de sécurité plus petits et des analystes moins expérimentés s'investir dans cette traque en s'aidant d'outils, de technologies et de personnels idoines.

Il arrive souvent que des techniques innovantes encore rares se transforment au fil du temps en pratiques opérationnelles établies à mesure que la codification des techniques s'améliore et que des outils d'automatisation deviennent disponibles. Il n'est guère surprenant que la traque suive la même voie. Selon nous, l'essor des activités de traque est dû à trois facteurs : l'évolution des attaques opportunistes, une meilleure visibilité du centre de sécurité et une amélioration de l'expérience collective des experts en sécurité.

La traque des menaces est à l'intervention sur incidents ce que la corrélation des événements est à la détection des incidents. Les auteurs des menaces restent avant tout des hommes et, à ce titre, ils présentent des caractéristiques comportementales récurrentes qui permettent d'identifier l'origine de l'attaque, l'identité de l'attaquant, ses motivations, ses méthodes et ses outils. En mettant au jour des similitudes et des schémas dans les attaques et en combinant ces tactiques, techniques et procédures, indicateurs de compromission et autres critères similaires, ces corrélations peuvent être transformées en données utilisées pour identifier, neutraliser et bloquer les attaques futures.


Évolution des attaques opportunistesDès lors que les techniques d'attaque se basent sur la compromission de comptes utilisateur légitimes, elles sont évidemment plus difficiles à détecter. En outre, la plupart d'entre elles se concentrent sur les derniers stades du cycle de vie d'une attaque, c’est-à-dire après l'infiltration initiale et en délaissant les malwares au profit d’outils intégrés au système d'exploitation, par exemple PowerShell. En général, les mécanismes de détection classiques n'arrivent pas à détecter ces techniques sans générer une masse de faux positifs. D’où l’avantage d’une méthode davantage axée sur l'humain.

La traque des menaces offre la possibilité de détecter de telles attaques. Elle permet en effet d'effectuer des recherches et agrégations manuelles et de comparer les données à des critères d'activité normale. L’objectif : détecter des anomalies par rapport à différents attributs, notamment l'heure de ces activités ou le comportement attendu de leur auteur. Par exemple, il n'est pas normal pour un utilisateur du département financier d'exécuter des commandes PowerShell. Si, par ailleurs, cet utilisateur se connecte à plusieurs ordinateurs à des heures inhabituelles, ses activités méritent d'être investiguées. Des départements de sécurité matures investissent dans les outils de traque des menaces car les instruments de détection classiques ne sont pas d'une grande utilité dans la plupart de ces scénarios.

Visibilité accrue du centre SOCBon nombre d'entreprises ont pris conscience de l'importance de la visibilité et ont investi en ce sens. Elles ont notamment déployé des capteurs réseau supplémentaires, adopté des modèles de capteurs distribués afin d’étendre la surveillance aux filiales, et installé des agents sur les terminaux pour bénéficier d'une visibilité au niveau de l'hôte.

À mesure que les volumes de données transmis aux centres SOC augmentent, il est possible d'élaborer d'autres scénarios d'utilisation pour identifier des activités malveillantes. Des agrégations simples, comme la sélection des agents utilisateur HTTP observés dans le trafic réseau et le tri de cette liste par occurrences les moins fréquentes, peut produire des données intéressantes. Toutefois, cette approche est souvent plus adaptée à l'analyse manuelle qu'à la détection automatisée.

En outre, l'adoption croissante des outils EDR (Endpoint Detection and Response) permet de corréler de façon plus efficace les données hôte et réseau afin d'avoir une image plus claire de la compromission. En corrélant l'heure d'exécution et la valeur de hachage associés au fichier avec les journaux réseau, un analyste de centre SOC peut déterminer l'origine du fichier et les raisons de sa présence sur le système. L'analyse de la source va générer des données supplémentaires qui peuvent permettre d'identifier une infection plus étendue. Il s'agit là d'un scénario de traque idéal que seule une visibilité accrue rend possible.

Amélioration des compétencesSi la traque des menaces a longtemps été l’apanage de rares experts, sa codification s'est améliorée, tandis que de nouveaux outils et formations sont apparus pour la rendre accessible à des analystes moins expérimentés. Dans des entreprises aux pratiques de sécurité mature, nous avons constaté une augmentation des recrutements de spécialistes de la traque des menaces. Nous avons également remarqué dans les CV envoyés aux entreprises des mentions plus fréquentes de l'expérience dans ce domaine. Celle-ci fait désormais partie des compétences les plus recherchées dans la sécurité défensive, et les formations et études proposées évoluent pour répondre à cette nouvelle demande.

Selon nous, ces tendances devraient se poursuivre. Les attaquants opportunistes sont appelés à gagner en habileté. Face à eux, les entreprises vont faire de la visibilité un de leurs axes de défense. Cela se traduira par un développement de la traque des menaces chez des analystes désireux de décortiquer les données pour y découvrir des preuves de compromission.

M-TRENDS® 2017 38

FireEye a constaté que les cybercriminels continuent de s'intéresser aux établissements de services financiers de la région Asie-Pacifique. Dans ce secteur, des violations de sécurité ont fait les gros titres en 2016, tandis que Mandiant continue d'intervenir sur des compromissions ultra élaborées et de nombreuses autres violations motivées par l’appât du gain.

Zoom sur les tendances régionales en Asie-Pacifique

LE CRIME FINANCIER CONTINUE DE PAYER

39ZOOM SUR LES TENDANCES RÉGIONALES EN ASIE-PACIFIQUE

2016 a vu une augmentation sensible des attaques contre les DAB et leurs réseaux au moyen de divers types de malwares. Certaines similitudes entre les compromissions de DAB en Thaïlande et à Taïwan (responsables de pertes financières très lourdes) suggèrent que ces opérations sont le fait d’attaquants d'Europe de l'Est.

En même temps, plusieurs groupes APT commandités par des États ont cherché à compromettre des systèmes publics et privés pour faire main basse sur des informations d'identification personnelle. Les motivations sont diverses : enjeux politiques, lutte d'influence ou collecte de renseignements.

La situation géopolitique de la région Asie-Pacifique contribue à la poursuite d’opérations de cyberespionnage commanditées par les États dans la région, notamment à l’encontre d’opérateurs télécom.

ATTAQUES DE DABLES ÉTATS EN QUÊTE D'INFORMATIONS D'IDENTIFICATION PERSONNELLE

LES VOISINS DE LA CHINE VICTIMES D'ACTES D'ESPIONNAGE

M-TRENDS® 2017 40

Avril 2016

Juin 2016

Mars 2016

Juillet 2016

Début 2016

Violations de sécurité notables en Asie-Pacifique

La commission électorale des Philippines est victime d'une violation de sécurité portant sur les informations personnelles de 70 millions de personnes. Intervenue quelques semaines avant une élection nationale, cette attaque s’est concentrée sur des données biométriques et de passeports.

Des attaquants s'en prennent aux réseaux bancaires de plusieurs établissements financiers en Asie du Sud et du Sud-Est, notamment au Bangladesh et au Vietnam.

Une importante entreprise de construction australienne est victime d'un incident de sécurité majeur à caractère financier. Les attaquants ont utilisé un e-mail de spear-phishing pour cibler les collaborateurs ayant accès aux systèmes financiers. Ils ont ainsi réussi à détourner 1,2 million de dollars australiens, bien que l'exposition potentielle totale s'élève à plus de 2 millions. Au cours de l'enquête, Mandiant a découvert un second groupe de pirates au sein du réseau. Actif depuis fin 2015, ce dernier y menait essentiellement des opérations de reconnaissance interne et d’établissement d’une persistance. Le code de débogage de ses malwares était écrit en russe, bien qu’aucune attribution n'ait pu être confirmée à ce stade.

Le gouvernement de la Corée du Sud accuse des cyberpirates de Corée du Nord d'avoir publié les informations d'identification personnelle de clients d'un important site d'e-commerce. L'entreprise ne s'est rendu compte de la violation de sécurité qu'après avoir reçu une demande de rançon de plus de 2 milliards de dollars US.

Un grand hôpital a été compromis à l'aide du malware Andromeda et l'outil d'accès à distance Dark Comet. Il a fallu plus de deux ans pour détecter cette compromission. Les cyberpirates ont maintenu la communication avec l'environnement de l'hôpital via un serveur connecté à Internet et hébergé sur le réseau interne de l'établissement. Même si le groupe responsable n'a pas été identifié, le fait que de nombreux touristes se fassent opérer dans cet hôpital montre clairement le risque posé aux systèmes de soins de santé qui hébergent des données médicales personnelles partout dans le monde.

Août 2016

Août 2016

Mandiant enquête sur une violation de sécurité qui s'est propagée d’une filiale jusqu’au siège du groupe via des accès réseau

latéraux, parvenant même à infecter les systèmes de la société mère dans plusieurs pays d'Asie-Pacifique. Un aspect intéressant de cet incident est qu'un taux de turnover du personnel d'environ 90 % a été directement attribué à cette compromission. Après enquête de Mandiant, les indices découverts semblent indiquer l'implication d'un ancien collaborateur mécontent.

MILLIARDS U$D

2

Le site Web du Parti démocrate progressiste de Taïwan est compromis. Le groupe de cyberpirates a pour cela réussi à établir un profil des systèmes utilisés par les visiteurs du site Web. Ce n'est pas la première fois que FireEye constate l'utilisation du même outil par plusieurs groupes de cyberespionnage basés en Chine. Son utilisation contre des cibles politiques taïwanaises laisse à penser que les auteurs de la campagne sont soutenus par des commanditaires de la Chine continentale.

90 %

41SECTION 41ZOOM SUR LES TENDANCES RÉGIONALES EN ASIE-PACIFIQUE

Principaux secteurs de la région Asie-Pacifique exposés aux cybermenaces

BRANCHE MOTIVATION CIBLE

Construction et ingénierie

Compte tenu de la puissance industrielle de pays comme le Japon, la Corée du Sud, Hong-Kong et Singapour, la région est un véritable vivier d'innovations très convoitées par des nations technologiquement moins avancées. Les dessins, plans, formules et spécifications de produits sont des cibles de choix pour les groupes de cyberpirates qui volent ces données pour favoriser le développement de leur industrie nationale.

• Matériaux de pointe• Ingénierie chimique• Équipements industriels • Ingénierie navale• Ingénierie pétrolière,

gazière et nucléaire

Finance Le secteur asiatique des services financiers a été une cible majeure pour les cybercriminels et les groupes commandités par des États partout dans le monde. Des cas récents de fraudes bancaires mettent en évidence les risques encourus par les banques de la région, moins strictes que leurs homologues occidentales sur les questions de sécurité des systèmes clés (transactions, documents bancaires internes et applications bancaires mobiles.) En outre, des groupes de cyberpirates basés en Chine se sont intéressés au développement économique régional pour assurer à des sociétés chinoises l'accès à des contrats lucratifs.

• Identifiants• Cartes de paiement• Informations d'identification

personnelle (PII)• Transactions

Gouvernements Les gouvernements et structures militaires régionaux continuent d'être la cible d'opérations de cyberespionnage. Les conflits territoriaux et de nouvelles politiques de défense sont souvent à l'origine de ces menaces. Nous continuons d'observer les activités de cyberpirates chinois à l’encontre des systèmes de défense de puissances rivales, notamment la marine et les garde-côtes, sans doute en raison des ambitions de Pékin pour asseoir sa domination dans la région. L'Inde et son gouvernement sont actuellement la cible de nombreuses menaces.

• Alliances• Diplomatie• Politique étrangère• Conflits territoriaux

Hautes technologies et électronique

Le Japon abrite quelques-unes des plus importantes sociétés du secteur électronique au monde. La force d’innovation de pays comme le Japon fait de leurs entreprises et de leur capital intellectuel des cibles de choix pour les acteurs du cyberespionnage économique. Les auteurs des menaces utilisent ces informations pour favoriser le développement technologique des entreprises nationales ou leur conférer un avantage concurrentiel sur le marché mondial.

• Électronique de pointe• Fournisseurs de services cloud

et informatiques• Informatique et semi-conducteurs• Logiciels et jeux

M-TRENDS® 2017 42

Zoom sur les tendances régionales dans l'EMEA

43ZOOM SUR LES TENDANCES RÉGIONALES DANS L'EMEA

Celle-ci a d'ailleurs été victime de plusieurs violations de sécurité graves qui ont compromis la confidentialité d'informations personnelles — documents légaux, informations de contact ou encore données financières. Ces fuites, qu'elles soient motivées par le gain financier ou le désir de discréditer les victimes, ont révélé combien il était capital pour les entreprises de toutes tailles de sécuriser la moindre information sur leurs clients.

En 2016, FireEye a noté l'intérêt manifesté par certains groupes de cyberpirates russes pour les élections présidentielles américaines et décelé des signes précurseurs d'attaques similaires à l’approche de plusieurs élections européennes. L'Allemagne a annoncé que deux partis politiques avaient été piratés en 2016, sans doute un prélude à d'autres opérations russes dans le but d'influencer les élections dans plusieurs pays de l'Union.

En 2016, FireEye a constaté une hausse de la criminalité financière en Europe et au Moyen-Orient. Les établissements financiers au dispositif de sécurité moins abouti représentent une cible plus facile pour des cybercriminels rompus aux compromissions de grands groupes parmi les mieux sécurisés au monde. Ces malfaiteurs s'intéressent désormais aux systèmes de messagerie financière vulnérables de la région.

VULNÉRABILITÉ DES INFORMATIONS D'IDENTIFICATION PERSONNELLE

DES GROUPES DE CYBERPIRATES RUSSES INFLUENCENT LES ÉLECTIONS ET CIBLENT DES RESPONSABLES POLITIQUES ÉTRANGERS

LA CRIMINALITÉ FINANCIÈRE EN HAUSSE

M-TRENDS® 2017 44

COMPTES20 000

Avril 2016

Des réseaux bancaires sont victimes de violations de sécurité de plusieurs cyberpirates d'Asie, d'Europe de l'Est et d'Amérique du Sud. Ces cybercriminels ont infiltré l'environnement de messagerie réseau interbancaire pour réaliser des transactions illégales.

Mossack Fonseca, un cabinet d'avocats, est victime d'une des plus grandes fuites de données clients confidentielles jamais observées. Même si le cabinet d'avocats est situé au Panama, l’onde de choc s’est propagée à toute la région EMEA par la divulgation d’informations compromettantes sur les transactions financières de responsables politiques et autres en Europe, au Moyen-Orient et partout dans le monde.

La Qatar National Bank, la banque au plus gros portefeuille d’actifs du Moyen-Orient, est victime d'une violation de données majeure touchant 1,5 Go de documents, dont des coordonnées bancaires, des numéros de téléphone et des dates de naissance⁷.

Tesco Bank, une banque écossaise, révèle que 20 000 comptes ont été dévalisés et que des activités suspectes ont été détectées sur 20 000 autres comptes⁹.

7 http://www.reuters.com/article/us-qatar-ntl-bank-cyber-idUSKCN0XS16V8 http://www.telegraph.co.uk/news/2016/09/21/russia-blamed-for-hacking-attack-on-german-mps/9 http://www.databreachtoday.com/tesco-bank-confirms-massive-account-fraud-a-9501

Mars 2016

Janvier 2016

Novembre 2016

Deux partis politiques allemands et le Bundestag révèlent avoir été victimes d'une attaque ciblée visant à influencer le résultat des élections à venir⁸.

Violations de sécurité notables dans l'EMEA

Septembre 2016

1,5 Go

45ZOOM SUR LES TENDANCES RÉGIONALES DANS L'EMEA

Principaux secteurs de la région EMEA exposés aux cybermenaces

BRANCHE MOTIVATION CIBLE

Énergie Les groupes APT et d'autres cyberpirates lancent de nombreuses attaques et autres opérations de cyberespionnage contre des réseaux informatiques du secteur de l'énergie au Moyen-Orient, en raison de l'importance stratégique et économique de cette branche d'activités.

En Europe, ce secteur court également de grands risques d'être infiltré par des auteurs d'attaques avancées en quête d'informations propriétaires pour développer la capacité de leurs sociétés nationales. En outre, les systèmes de contrôle industriel européens ne sont pas à l’abri d’actions de perturbation et de sabotage.

• Exploration et production pétrolière et gazière

• Technologies des énergies propres Systèmes de contrôle industriel

Administrations et collectivités

Des auteurs de cybermenaces travaillant pour le compte de commanditaires privés ou étatiques ciblent fréquemment des gouvernements et leurs systèmes de défense dans la région en raison de la situation géopolitique et des conflits permanents au Moyen-Orient.

Les gouvernements européens sont la cible d'attaques menées pour le compte de commanditaires privés et étatiques. Les cyberpirates à la solde des États sont en quête d'informations susceptibles de favoriser les intérêts nationaux, dont des renseignements sur la politique étrangère, les relations diplomatiques et les réseaux de la défense.

• Ministères des Affaires étrangères et de la Défense

• Opérations internationales

• Alliances militaires

Services financiers Des auteurs d'attaques avancées ciblent le secteur financier en Europe en quête de profits. Plus spécifiquement, la numérisation croissante des établissements financiers européens a fait de ce secteur une cible de choix pour les cybercriminels motivés par l'appât du gain.

En plein essor, l’industrie des services financiers au Moyen-Orient (banques de détail, banques d'investissement et autres fonds souverains) constitue une cible très prisée d’attaques à caractère financier. Les banques de la région n'ont pas réalisé les mêmes investissements que leurs homologues occidentaux en matière de cybersécurité, détection des menaces et cyberveille. En outre, des cyberpirates iraniens ont fait du secteur financier de la région et de ses infrastructures critiques une de leurs cibles privilégiées.

• Banques de détail• Banques

d'investissement• Fonds souverains• Identifiants• Données PCI

et informations d'identification personnelle

Télécommunications FireEye a constaté que des cyberpirates à la solde de certains États (Chine, Russie et certaines puissances occidentales) s'en prenaient à des opérateurs télécom de l'EMEA. Ce faisant, ils cherchent à obtenir des informations sur l'Union européenne et à collecter des renseignements d'origine électromagnétique au profit des forces militaires nationales.

• Opérateurs de réseau cellulaire et mobile

• Fournisseurs de services informatiques

• Équipements de télécommunications

• Opérateurs de satellites

M-TRENDS® 2017 46

L'impact du Règlement général sur la protection des données (RGPD) sur les entreprises de l'EMEAEn 2016, les législateurs européens ont finalisé le Règlement général sur la protection des données (RGPD). Obligatoire dans tous ses éléments à partir de mai 2018, le Règlement général sur la protection des données représente une réforme globale des règles de protection des données et crée un nouveau cadre légal pour le traitement des données personnelles des citoyens de l'Union européenne.

L'objectif de ce nouveau règlement est d'inciter les entreprises à adopter une approche proactive en matière de gouvernance de la sécurité de l’information. Il définit les mesures à implémenter pour contrôler efficacement le traitement des données personnelles des citoyens de l'Union au sein des entreprises, de manière juste et transparente pour les personnes concernées, dans le respect des bonnes pratiques de sécurité et des exigences statutaires de la législation. Le non-respect du règlement expose à des sanctions potentiellement élevées : en cas de non-conformité, les autorités de contrôle ont le pouvoir d'infliger des amendes allant jusqu'à 4 % du chiffre d'affaires annuel global du groupe.

La rigueur avec laquelle le nouveau règlement a été conçu vise à rassurer les consommateurs européens quant à la sécurité du partage des informations et de leurs interactions dans la sphère du digital. Mandiant a collaboré avec le cabinet d'avocats DLA Piper UK pour étudier les considérations juridiques du Règlement général sur la protection des données (RGPD).

Un point clé du nouveau règlement est l'obligation pour les entreprises d'avertir les autorités de contrôle, et dans certains cas les personnes concernées, des cyberincidents impliquant la perte de données personnelles dans les 72 heures après en avoir eu connaissance. Bien entendu, cette notion de « connaissance du problème » est subjective puisqu'elle dépend des interactions complexes des équipes d'intervention sur incidents. Par conséquent, le RGPD définit le délai de notification mais pas le déclencheur de celle-ci. Ce rôle revient au responsable du traitement concerné. Dès lors, il est prudent pour les entreprises concernées d'inclure une clause de notification de violation de sécurité conforme au Règlement dans leurs plans d'intervention sur incidents existants.

Outre le flou entourant la notion de connaissance, il faudrait également éclaircir le point excluant de l'obligation de notification les violations de sécurité « dont il est peu probable qu'elles engendrent un risque pour la personne concernée ». Ces deux points laissant place à l'interprétation, il faut s'attendre à ce que la portée et le processus de traitement des notifications de violation de sécurité soient définis de façon plus précise au cours des 18 prochains mois, lorsque les autorités de contrôle des États membres compléteront le règlement par des directives locales plus détaillées. L'intention de la nouvelle réforme est claire : l'Union européenne est en train de se doter d'une réglementation sur la notification obligatoire qui prévoit d'avertir les autorités de contrôle de toute violation de données à caractère personnel.

Les entreprises devraient s'y préparer sans attendre pour être certaines de disposer d'un plan d'intervention sur incidents efficace pour la remontée, la gestion et la notification des violations de données potentielles, tout en inscrivant ce plan dans un cadre de gouvernance cohérent et conforme à tous les autres aspects du nouveau règlement. En cas de violation de sécurité, il faut s'attendre à ce que l'autorité de contrôle vérifie l'ensemble des mesures mises en place par l'entreprise et l'approche globale adoptée en matière de gestion de l’information et de respect de la confidentialité. Les entreprises qui ont mis en œuvre des méthodes bien définies et documentées auront plus de chance d'éviter des sanctions importantes. Quant à celles qui opèrent sans processus de gouvernance bien établis en matière d'intervention sur incidents et contrôles de sécurité connexes, elles feront immanquablement l'objet d'une attention particulière de la part des autorités et s'exposent à des risques d'amendes plus conséquentes.

Compte tenu de l'importance des sanctions financières potentielles, il est recommandé aux entreprises de prendre le temps d'évaluer leurs processus de surveillance et de protection des données personnelles des citoyens de l'Union européenne. De même, elles auront tout intérêt à entreprendre des exercices de simulation pour déterminer si elles respectent et satisfont aux exigences de notification des violations de sécurité exigées par le RGPD.

Considérations légales proposées par DLA Piper UK

47CONCLUSION

Comme nous l'avons souvent répété, les entreprises doivent constamment s'adapter à des menaces en perpétuelle mutation et, à cet égard, 2017 n'est pas différente des autres années. L'année dernière, nous avons constaté que les attaquants avaient encore haussé leur niveau de jeu. Certains d'entre eux laissent en effet très peu de preuves de leurs opérations, ce qui complique grandement la tâche de détection et de remédiation des analystes. En outre, le recours à des tactiques telles que l'appel direct des victimes démontre une certaine hardiesse chez des cybercriminels qui n'hésitent plus à sortir des sentiers battus.

Les équipes de sécurité peuvent désormais mieux identifier, prioriser et neutraliser certaines de ces menaces grâce à une automatisation et une traque des menaces axées sur la cyberveille. Cependant, il ne faut pas qu'elles oublient pour autant de respecter les grands principes de base et les bonnes pratiques de la sécurité, comme la segmentation du réseau et la ségrégation des données. Aujourd'hui, il ne suffit plus de protéger les ressources critiques. Face à la menace d’attaques perturbatrices contre paiement d'une rançon, les entreprises doivent s'attacher à protéger tous les éléments nécessaires à la continuité de leurs activités.

Fort heureusement, nous avons également constaté que les entreprises détectaient plus rapidement et efficacement les violations de sécurité. Le délai moyen entre la compromission et la détection a considérablement diminué, passant de 146 jours en 2015 à 99 jours en 2016. Toutefois, ce délai reste encore trop long. Comme nous l'avions mentionné dans M-Trends 2016, une fois infiltrée dans un environnement, une équipe de simulation d'attaque de Mandiant met environ trois jours à obtenir les identifiants d’un administrateur. Par conséquent, un délai de détection de 99 jours représente toujours 96 jours de trop.

Compte tenu du battage médiatique autour des affaires de cyberattaques et de compromission de données, même les personnes qui ne travaillent pas dans le secteur de la sécurité savent que les compromissions sont inévitables. Il est donc tout aussi essentiel d'être prêt et capable d'intervenir en cas d'incident que de se protéger contre les menaces. Dans cette optique, les entreprises devraient collaborer avec des spécialistes de la défense contre les menaces spécifiques qui pèsent sur leur activité.

Conclusion

FireEye est spécialisé dans la cybersécurité axée sur la cyberveille. Prolongement naturel et évolutif des opérations de sécurité des clients, la plate-forme unique de FireEye combine des technologies de sécurité innovantes, des services de cyberveille d'envergure internationale et les services réputés de Mandiant® Consulting. FireEye simplifie ainsi la cybersécurité et son administration, devenant un allié précieux des entreprises confrontées au casse-tête que représentent la prévention et la neutralisation des cyberattaques. FireEye compte plus de 5 300 clients dans 67 pays, dont plus de 845 figurent au classement Forbes Global 2000.

© 2017 FireEye, Inc. Tous droits réservés. FireEye est une marque déposée de FireEye, Inc. Tous les autres noms de marques, de produits ou de services sont ou peuvent être des marques commerciales ou des marques de service de leurs propriétaires respectifs. SP.MTR.FR-FR.032017

FireEye, France | 4, place de la Défense, Paris La Défense Cedex 92974 | +33 1 58 58 01 76 | [email protected] | www.FireEye.com FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408 321 6300 |

www.FireEye.fr

Pour plus d'informations sur FireEye, consultez notre site Web à l'adresse :www.FireEye.fr



2 https://www.fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html

m-trends 2017 - fireeye · 2018-05-08 · les chiffres clés fournis par fireeye isight...

Documents