[ad_1]

Détails sur les récentes cyberattaques contre une entreprise de sécurité RSA suggèrent que les assaillants ont peut-être provoqué le géant de l’industrie et les États-Unis alors qu’ils volaient des secrets à une entreprise dont la technologie est utilisée pour sécuriser de nombreuses banques et agences gouvernementales.

Plus tôt ce mois-ci, RSA a révélé qu' »une cyberattaque extrêmement sophistiquée » ciblant son unité commerciale « a entraîné l’extraction de certaines informations des systèmes de RSA concernant les produits d’authentification à deux facteurs SecurID de RSA ». La société a pris soin d’avertir que même si les données recueillies n’ont pas permis une attaque directe réussie contre l’un de ses SecurID clients, les informations « pourraient potentiellement être utilisées pour réduire l’efficacité d’une implémentation actuelle d’authentification à deux facteurs dans le cadre d’une attaque plus large ».

Cette révélation semble n’avoir fait qu’attiser les flammes de la spéculation tourbillonnant autour de cette histoire, et un certain nombre de blogueurs et d’experts ont esquissé des scénarios de ce qui aurait pu se passer. Pourtant, jusqu’à présent, très peu de données sur l’attaque elle-même ont été rendues publiques.

Plus tôt aujourd’hui, j’ai eu l’occasion d’examiner un document non classifié du Équipe américaine de préparation aux urgences informatiques (US-CERT)qui comprend un tout petit peu de données d’attaque : une liste des domaines qui ont été utilisés lors de l’intrusion chez RSA.

Certains des noms de domaine de cette liste suggèrent que les attaquants avaient (ou voulaient donner l’impression d’avoir) du mépris pour les États-Unis. Parmi les domaines utilisés dans l’attaque (un espacement supplémentaire est intentionnel dans les liens ci-dessous, qui doivent être considérés comme hostiles) :

Une liste partielle des domaines utilisés dans l’attaque contre RSA

www usgoodluck .com

obama .servehttp .com

prc .dynamiclink .ddns .us

Notez que le dernier domaine répertorié comprend l’abréviation « PRC », ce qui pourrait être une feinte astucieuse, ou il pourrait s’agir d’attaquants chinois qui s’y frottent le nez, comme pour dire : « Oui, il a été la République populaire de Chine qui vous a attaqué : qu’allez-vous faire à ce sujet ?

La plupart des domaines remontent à ce qu’on appelle fournisseurs DNS dynamiques, généralement des services gratuits qui permettent aux utilisateurs d’avoir des sites Web hébergés sur des serveurs qui changent fréquemment d’adresse Internet. Ce type de service est utile pour les personnes qui souhaitent héberger un site Web sur une adresse Internet à domicile qui peut changer de temps à autre, car les services DNS dynamiques peuvent être utilisés pour mapper facilement le nom de domaine à la nouvelle adresse Internet de l’utilisateur chaque fois que ça arrive à changer.

Malheureusement, ces fournisseurs de DNS dynamiques sont extrêmement populaires dans la communauté des attaquants, car ils permettent aux malfaiteurs de maintenir leurs sites malveillants et frauduleux même lorsque les chercheurs parviennent à suivre l’adresse IP de l’attaquant et à convaincre le FAI responsable de cette adresse de déconnecter le malfaiteur. Dans de tels cas, le DNS dynamique permet au propriétaire du domaine attaquant de simplement rediriger le site d’attaque vers une autre adresse Internet qu’il contrôle.

Sam Norrisfondateur de ChangeIP.comle fournisseur de DNS dynamique responsable de la plupart des domaines racine de la liste de l’US-CERT, a déclaré qu’il avait résilié tous les comptes de la liste dès que l’US-CERT a publié la liste le 18 mars (bien que cette version de la liste ne mentionne pas la connexion RSA). Norris a rapidement été contacté par e-mail par le titulaire du compte qui a utilisé le prc. lien dynamique. ddns. nous domaine. Norris a déclaré que le titulaire du compte voulait connaître la raison pour laquelle son domaine avait été tué.

« Ce type m’a envoyé un e-mail, me demandant de récupérer le compte, disant des choses comme » Hé, j’avais des choses importantes sur ce domaine, et je dois le récupérer «  », a déclaré Norris. « Les méchants sont définitivement intéressés à le récupérer, ce qui signifie que nous avons probablement coupé leurs communications ou fait en sorte qu’ils ne puissent pas nettoyer leur piste par la suite. »

Jusqu’à présent, une grande partie des spéculations publiques sur l’attaque contre RSA a invoqué le terme « menace persistante avancée » ou APT, qui est un raccourci de l’industrie de la sécurité pour « Nous sommes presque sûrs qu’elle vient de Chine ». Au moins en ce qui concerne les domaines qui ont été acheminés via ChangeIP.com, cette évaluation semble tenir le coup (avec la mise en garde habituelle que les attaquants peuvent acheminer leur trafic via des machines n’importe où dans le monde dans le but de dissimuler leur véritable emplacement).

« Quatre-vingt-dix-neuf pour cent du temps, lorsque ces gars se sont connectés à l’un de leurs comptes pour changer l’adresse IP d’un domaine, ils venaient d’une adresse chinoise », a déclaré Norris.

sumac vénéneux RAT

Une illustration d’une attaque ciblée qui a utilisé Poison Ivy. Image : Mandiant

Un examen plus approfondi de certains des domaines indique également l’utilisation de certains outils d’attaque familiers qui ont été associés à des attaques ciblées précédentes attribuées à des pirates chinois parrainés par l’État. Par exemple, l’un des rares domaines de la liste qui n’est pas rattaché à un service DNS dynamique — mincesur .com — a été un source de téléchargement bien connue pour « Poison Ivy », un outil d’attaque léger que les attaquants ont utilisé un peu dans les attaques précédentes de piqûre d’épingle (PDF) pour administrer à distance des systèmes piratés et récupérer des informations sur ces machines.

Aussi intéressantes que soient ces bribes de données, elles ne répondent pas aux questions qui semblent se poser à tout le monde à propos de l’attaque RSA : quelle quantité d’informations les attaquants ont-ils obtenue, et les organisations peuvent-elles encore faire confiance aux jetons SecurID en tant que mécanisme d’authentification ? Un porte-parole de RSA a déclaré que la société n’était pas encore prête à divulguer publiquement plus de détails sur l’attaque. Plusieurs sources affirment que RSA a récemment informé un petit groupe de leaders de l’industrie et de clients, fournissant de plus amples informations sur l’attaque, mais ces personnes ont dû signer un accord de non-divulgation les empêchant de discuter des détails.

Depuis la divulgation initiale de RSA, j’ai reçu de nombreux e-mails de lecteurs me demandant mon point de vue sur l’attaque. J’ai évité d’écrire à ce sujet parce que je n’avais pas grand chose à ajouter le rapport initial, qui reste très spéculatif en l’absence de plus de détails de RSA. Et en relisant ce que j’ai écrit ci-dessus, je peux voir que ce message semble également spéculatif. En ce qui concerne la technologie de RSA, j’ai noté dans une histoire après l’autre que les jetons à usage unique tels que ceux générés par les porte-clés SecurID de RSA sont meilleurs que de simples mots de passe pour l’authentification, mais pas de beaucoup. Les outils d’attaque d’aujourd’hui permettent aux malfaiteurs de contrôler non seulement le PC de la victime, mais aussi ce que les victimes voient dans leur navigateur Web. J’ai écrit sur un certain nombre d’attaques réussies dans lesquelles les escrocs ont obtenu les informations dont ils avaient besoin pour vaincre les jetons et vider les comptes bancaires en injectant du contenu dans le navigateur de la victime. La dernière attaque contre RSA sert à accroître la suspicion, même si elle n’est pas fondée, que ses produits pourraient ne pas fournir une protection suffisante à l’utilisateur.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *