Le directeur informatique d’un fonds spéculatif international a reçu la mauvaise nouvelle lors d’un appel téléphonique d’un inconnu : des pirates chinois se sont déchaînés sur le réseau du fonds. Ne voyant aucune preuve de l’intrusion alléguée et incertain de la crédibilité de l’appelant, le directeur informatique a envoyé un e-mail à un journaliste.
« Alors tu penses que c’est légitime, ou est-ce que le gars essaie de nous faire peur ? » a demandé le directeur informatique dans un e-mail à BreachTrace.com, acceptant de discuter de l’incident si lui et son entreprise n’étaient pas nommés. « Il m’a envoyé les journaux des connexions au serveur infecté. J’ai vérifié le pare-feu et je ne vois aucune connexion active.
L’appel, de Hermès Bojaxhi société de renseignement sur les menaces basée à Columbia, dans le Maryland Services de cyberingénierie inc. (CyberESI), était en effet légitime, et une enquête de suivi menée par le fonds spéculatif a révélé qu’au moins 15 ordinateurs au sein de la société de services financiers étaient compromis et envoyaient des informations confidentielles aux attaquants.
CyberESI était au courant de l’incident car il surveillait plusieurs serveurs légitimes piratés que les attaquants utilisaient pour siphonner les données de plusieurs victimes. Bojaxhi a déclaré que la notification de fonds spéculatifs était l’une des nombreuses qu’il a adressées cette semaine-là aux entreprises du Fortune 500 qui avaient également été piratées et communiquaient avec les mêmes serveurs compromis.
Et ce n’était pas son premier appel au fonds spéculatif.
« Sur cette victime particulière, j’ai essayé de les contacter un mois auparavant, mais j’ai été confié à un assistant administratif », a déclaré Bojaxhi. « Nous avions 25 [victim organizations] appeler ce jour-là. Mais quand ils sont réapparus sur le radar un mois plus tard, j’ai réessayé.
L’incident du fonds spéculatif illustre la complexité de la défense et de la détection des attaques ciblées, même lorsque les victimes sont alertées du problème par une partie extérieure.
Joe Drisselfondateur et PDG de CyberESI, a déclaré que trop d’entreprises considèrent les cyberattaques comme des menaces automatisées qui peuvent être bloquées avec la bonne combinaison de matériel et de logiciels.
« Tant d’entreprises sont coincées dans un paradigme de drive-bys, pas d’attaques ciblées », a déclaré Drissel. « Il semble y avoir une réelle déconnexion avec ce qui se passe réellement au quotidien. Nous essayons de mener une guerre asymétrique de manière symétrique, un peu comme si nous étions des soldats britanniques [in Revolutionary War], tous marchant en ligne et ils nous ramassent un par un. Au moment où nous nous retournons et visons, ils sont déjà partis.
Aucun des trois premiers chevaux de Troie installés sur les ordinateurs du fonds spéculatif n’a été initialement détecté par l’un des 42 produits antivirus intégrés aux outils d’analyse de Virustotal.com.
Drissel a déclaré que les victimes que son entreprise informe pensent parfois à tort que son entreprise est impliquée dans l’attaque, ou qu’elles plaisantent d’une manière ou d’une autre.
« Un gars a ri et a dit: » Merci d’avoir fait attention à notre entreprise « , mais il ne nous a pas rappelés », a déclaré Drissel à propos d’une conversation avec une victime plus tôt cette année, refusant de nommer la victime. « Nous avons regardé [the attackers] exfiltrer les données des systèmes d’armes pour le ministère de la Défense hors de leurs systèmes, et a fini par envoyer au même gars un fichier volé sur leurs serveurs. Quinze minutes plus tard, nous avons reçu un appel de lui et ils ont débranché tout leur réseau d’entreprise. »
Certains disent que les attaques dont CyberESI informe les entreprises — souvent appelées menace persistante avancée (APT) — sont surfaits, et que les logiciels malveillants et les exploits utilisés dans ces incursions ne sont généralement pas si sophistiqués. Les attaques APT sont également fréquemment associées à des cibles au sein du gouvernement américain et des entreprises de l’industrie de la défense.
Mais la plupart des attaquants APT ont tendance à être aussi sophistiqués qu’ils doivent l’être, ce qui n’est souvent pas trop sophistiqué, a déclaré Gavin Reid, cadre supérieur de l’équipe de réponse aux incidents de sécurité informatique de Cisco. Parlant à une conférence à Varsovie, en Pologne cette semaineReid a déclaré que les attaques APT réussies n’avaient pas besoin d’utiliser des failles logicielles zero-day.
« Les gens diront : ‘Eh bien, cette attaque n’était pas très avancée, donc ça ne peut pas être APT’, mais je vais vous dire que les gens qui sont derrière certaines de ces choses ne vont pas utiliser des trucs cool du jour zéro si ils peuvent entrer dans l’économie souterraine et dire : « Hé, j’ai besoin [access to] une machine infectée dans cette organisation », et payez 50 $ sur Paypal pour l’obtenir », a déclaré Reid.
APT implique presque toujours de l’ingénierie sociale ou incite les gens à infecter leurs systèmes en déguisant une pièce jointe infectée par un logiciel malveillant en quelque chose de pertinent pour le destinataire. Les experts disent que cette méthode fonctionne généralement contre les cibles si l’attaquant dispose de suffisamment de ressources, de temps et d’informations solides sur ses cibles. À bien des égards, c’est l’aspect « persistance » d’APT qui en fait une menace si puissante.
Drissel a déclaré que toute entreprise qui possède une propriété intellectuelle de valeur peut être une cible.
« Ce ne sont pas seulement le DoD et les entreprises de défense qui sont ciblés », a-t-il déclaré. « La vérité est que la plupart des entreprises ont été compromises sous une forme ou une autre. »
SUPPOSEZ QUE VOUS AVEZ ÉTÉ INFRACTIONNÉS
C’était l’une des principales conclusions d’un sommet de l’APT les 13 et 14 juillet 2011 à Washington. La conférence a été organisée par un grand groupe commercial de l’industrie de la technologie et de la sécurité appelé TechAmericaet RSA, la société de sécurité qui a subi une intrusion APT particulièrement médiatisée au début de cette année.
Du rapport intérimaire publié après ce sommet :
– Des adversaires déterminés peuvent toujours trouver des exploits à travers des personnes et dans des environnements informatiques complexes. Il n’est pas réaliste d’empêcher les adversaires d’entrer. Les organisations doivent planifier et agir comme si elles avaient déjà été violées.
-Les organisations doivent se concentrer sur la fermeture de la fenêtre d’exposition et la limitation des dommages en s’efforçant de compartimenter les systèmes, d’arrêter la sortie de données sensibles et de revenir aux principes fondamentaux de la sécurité informatique tels que le « moindre privilège » et la « défense en profondeur ».
-La clé est de savoir quels actifs numériques il est important de protéger, où ils résident, qui y a accès et comment les verrouiller en cas de violation.
Le rapport a également souligné la valeur de la détection précoce des failles, ce qui se produit trop rarement avec les intrusions APT. Il a souligné l’importance de perturber les opérations APT :
« La clé consiste à préserver, agréger et examiner activement les données pour détecter une intrusion potentielle, mais aussi pour la criminalistique post-événement. Ne sous-estimez pas le pouvoir de la perturbation. Les dommages causés par les APT peuvent être minimisés ou évités en interrompant simplement le flux de travail des attaquants en plusieurs points. Les organisations doivent s’efforcer d’adopter une approche perturbatrice de la défense afin de s’adapter à l’évolution rapide de l’environnement des menaces. »
Gavin Reid de Cisco a déclaré que les organisations qui n’ont pas un bon historique d’activité réseau interne remontant à des mois, voire des années, ont peu de chances de comprendre l’ampleur d’une attaque APT après qu’elle se soit produite.
« Sans ces informations, il y a très peu de victimes qui peuvent rassembler pour comprendre ce qui est entré, ce qui est sorti et qui d’autre était impliqué », a déclaré Reid.
Mais Reid a averti que la journalisation ne suffisait pas, et l’industrie de la sécurité a vendu de nombreuses entreprises sur un mensonge : que les solutions d’automatisation et de journalisation réseau peuvent remplacer le personnel qualifié pour détecter les intrusions.
« L’un des domaines dans lesquels nous avons échoué en tant que communauté de sécurité est que nous dépendons trop de l’automatisation », a déclaré Reid. « Nous avons vendu cette idée que nous pouvons l’automatiser, d’une manière qui aidera non seulement votre personnel de sécurité à identifier les menaces, mais que vous pouvez réduire votre personnel car ces technologies vont faire le travail de beaucoup de personnes. Cela a échoué. Nous sommes toujours coincés avec [the reality that] vous avez besoin de personnes intelligentes qui comprennent l’informatique, les applications et les réseaux, et une solution de journalisation devient un outil qu’ils peuvent utiliser pour identifier certaines de ces choses. J’espère que cela a été un peu un signal d’alarme et que nous pourrons commencer à regarder les choses un peu différemment et commencer à remettre les gens dans l’équation.
L’ATTAQUE COMME BONNE DÉFENSE ?
C’est une chose pour une organisation victime d’APT de perturber le flux d’informations de ses propres réseaux vers les réseaux de contrôle gérés par les attaquants. Mais est-ce le travail de quelqu’un de perturber l’infrastructure utilisée pour attaquer plusieurs sociétés simultanément ? Est-il même logique qu’une organisation dotée de compétences spécifiques adaptées aux attaques APT fasse cela ?
Drissel a déclaré que CyberESI et d’autres concurrents qui informent les entreprises touchées par les attaques APT ont fait pression sur le gouvernement américain pour que l’autorité prenne des mesures plus agressives pour cibler l’infrastructure APT, avec peu de succès.
« Quoi [the U.S. government needs] faire est de nous donner la latitude nécessaire pour poursuivre les attaquants », a déclaré Drissel, ancien chef de section par intérim de la section des intrusions au Defense Computer Forensics Lab, hébergé au Centre de la cybercriminalité du ministère de la Défense à Linthicum, dans le Maryland.« Nous avons tous est sorti du ministère de la Défense. Nous avons tous travaillé d’une manière ou d’une autre pour le gouvernement fédéral, et nous savons où est la ligne que nous ne pouvons pas franchir. Nous pouvons les arrêter, mais nous ne le faisons pas. Nous pouvons les couper, nous ne le faisons tout simplement pas.
On ne sait pas jusqu’où CyberESI ou même le gouvernement fédéral iraient pour fermer les réseaux de commande et de contrôle utilisés pour ces attaques, ou si cette approche serait efficace et souhaitable. J’ai interviewé plusieurs experts qui m’ont dit que bien que le FBI alerte régulièrement les entreprises infiltrées par les attaques APT, il ne fait généralement rien pour perturber l’infrastructure de l’attaquant de peur que la perturber n’élimine la visibilité sur les futures victimes.
CyberESI m’a demandé de ne pas publier les noms de domaine, les adresses Internet ou d’autres données incluses dans le rapport qu’ils ont envoyé au fonds spéculatif ; la société a déclaré que la publication des données de localisation amènerait probablement les attaquants à modifier leur infrastructure d’attaque et diminuerait potentiellement la capacité de l’entreprise à identifier et à alerter les nouvelles victimes.
Mise à jour, 13h24. ET : correction d’une faute d’orthographe dans le nom de Drissel.