Le barrage incessant d’attaques par e-mail ciblées qui exploitent les failles logicielles du jour zéro pour voler des informations sensibles aux entreprises et au gouvernement américain sont souvent décrits comme étant ultra-sophistiqués, presque ninja dans la furtivité et l’anonymat. Mais selon l’analyse d’experts de plusieurs attaques zero-day récentes – y compris l’effraction très médiatisée du géant de la sécurité RSA – les développeurs chinois de ces outils d’attaque ont laissé de nombreux indices sur leurs identités et leurs emplacements, avec un concurrent apparent même tweetant à propos d’avoir récemment a découvert une vulnérabilité quelques jours avant son utilisation dans la nature.
Les menaces zero-day sont des attaques qui exploitent des failles de sécurité dont un éditeur de logiciels prend connaissance en même temps que le grand public ; Le fournisseur a « zéro jour » pour corriger la faille avant qu’elle ne soit exploitée. RSA et d’autres ont qualifié les récentes attaques zero-day d’incarnation de la soi-disant « menace persistante avancée » (APT), un terme controversé décrivant l’assaut quotidien d’attaques numériques lancées par des attaquants considérés comme hautement qualifiés, déterminés et possédés. d’une perspective à long terme sur leur mission. Étant donné que ces attaques entraînent souvent le vol d’informations sensibles et exclusives du gouvernement et de l’industrie privée, les détails sont généralement entouré de secret lorsque les enquêteurs des forces de l’ordre et de la sécurité nationale interviennent.
Les informations open source disponibles sur les outils utilisés dans les récentes attaques étiquetées APT indiquent que certains des acteurs impliqués font peu pour brouiller les pistes : non seulement ils sont potentiellement identifiables, mais ils ne semblent pas particulièrement préoccupés par les conséquences de leurs actions.
Le droit de se vanter peut jouer un rôle dans le manque de duplicité des attaquants. Le 11 avril 2011, des experts en sécurité ont commencé à publier des informations sur une nouvelle attaque zero-day qui exploitait une vulnérabilité jusque-là inconnue dans Adobec’est Lecteur Flash logiciel, un plug-in de navigateur installé dans 96 pour cent des PC Microsoft Windows du monde . Le code d’exploitation était caché dans un Microsoft Word document intitulé « Démêler politique industrielle et politique de la concurrence.doc», et aurait été envoyé par e-mail à un nombre inconnu d’employés et de sous-traitants du gouvernement américain.
Quatre jours plus tôt, le 7 avril, un individu sur Twitter se faisant appeler « Yuange » et adoptant l’humble devise « Non. 1 hacker in China top hacker in the world », a tweeté un petit extrait de code d’exploitation, apparemment pour signaler qu’il avait connaissance à l’avance de l’attaque :
« appel [0x1111110+0x08].”
Il ne fallut pas longtemps avant que les chercheurs de logiciels malveillants soient extraire cette chaîne exacte des entrailles d’un exploit Flash qui atterrissait dans les boîtes de réception des e-mails du monde entier.
Tweeter un extrait clé de code caché dans un exploit zero-day avant sa diffusion publique peut sembler être l’équivalent hacker de Babe Ruth pointant vers les sièges bon marché juste avant de clouer un coup de circuit. Mais les enquêteurs disent que l’adresse Internet chinoise utilisée pour télécharger les fichiers malveillants dans les premières heures des attaques Flash Zero Day d’avril — 123.123.123.123 – était à certains égards plus audacieux que la plupart car cette adresse apparaîtrait très inhabituelle et mémorable à tout administrateur réseau raisonnablement vigilant.
Ce n’était pas la première fois que Yuange se vantait d’avoir eu connaissance à l’avance d’attaques zero-day imminentes. Le 27 octobre 2010, il s’est vanté d’être l’auteur d’un exploit zero-day ciblant une vulnérabilité jusque-là inconnue dans Mozilla’s Firefox Navigateur Web :
« J’ai écrit le firefox 0day. Vous pouvez voir « for(inx=0’inx<0x8964;inx++). Vous devriez savoir pourquoi 0x8964 ici.”
Le même jour, des experts ont découvert que le site Web du prix Nobel de la paix proposait un logiciel malveillant exploitant une nouvelle vulnérabilité de Firefox. Une analyse du code d’attaque publié par un membre de l’équipe de sécurité de Mozilla a révélé l’extrait de code exact que Yuange avait tweeté.
Le 28 février 2011, Yuange s’est moqué sur Twitter que de nouveaux pièges zero-day étaient en train d’être mis en place :
« prêt? le nouveau flash 0day est en route.”
Le 14 mars, Adobe a reconnu qu’une nouvelle faille Flash était exploitée via un composant Flash piégé niché dans des fichiers Microsoft Excel. Trois jours plus tard, la division de sécurité d’EMC RSA a lancé une bombe: Des fichiers secrets liés à ses jetons d’authentification SecurID largement utilisés avaient été volés lors d’une « cyberattaque extrêmement sophistiquée ». UNE article de blog de suivi de la rivière Uri de RSA deux semaines plus tard, a déclaré que l’effraction avait été précipitée par le jour zéro dont Adobe avait mis en garde le 14 mars, et que le leurre utilisé dans l’attaque contre RSA était un fichier Excel nommé « Plan de recrutement 2011 ».
Source : FireEye
Le 16 mars, juste un jour avant que RSA ne divulgue la violation, des chercheurs de la société de sécurité basée à Milpitas, en Californie FireEye ont publié leur analyse d’un exploit qui utilisait la même faille Flash zero-day. L’attaque spécifique analysée par FireEye comprenait un leurre différent de celui utilisé contre RSA : un fichier Excel intitulé « Matrice d’analyse de l’environnement des organisations de risque et de sécurité.” Lorsque les enquêteurs de FireEye ont creusé plus profondément dans le fichier Excel, ils ont trouvé des métadonnées indiquant que le fichier avait été enregistré pour la dernière fois par un utilisateur nommé « Linxder ».
« Qui est ce linxder? » FireEye Atif Mushtaq demandé dans une publication le 16 mars sur le blog de l’entreprise. « Mon collègue Darien m’a indiqué quelques liens sur Google qui nous disent qu’un type nommé ‘linxder’ est un acteur chinois connu de la menace. Ce gars est un hacker de la vieille école qui a un réseau social assez étendu. Si l’on recherche le profil baidu de linxder, on peut voir qu’il parle beaucoup de la militarisation des conteneurs flash dans d’autres formats de fichiers, ce qui est exactement ce qui se passe dans cette attaque.
Le profil Linxder lié à la rédaction de FireEye a depuis été effacé de plus de deux ans de messages de blog, mais le cache de Google contient toujours certaines de ses anciennes entrées de blog de 2009, dont une qui indique que Linxder et Yuange étaient des connaissances.
LE VRAI YUANGE VA-T-IL S’AVANCER ?
Le personnage Yuange1975 sur Twitter pourrait très bien être un composite de plusieurs individus différents, a déclaré André M. DiMinoune cybersécurité expert et ancien directeur de Shadowserver.orgun groupe qui suit les activités de cybercriminalité.
« Au début, il y avait beaucoup de gens vraiment intrigués par ce type », a déclaré DiMino. « Mais il semble assez probable qu’il y ait un groupe de personnes qui tweetent sur ce compte. »
Le profil Twitter de Yuange répertorie un compte de blog sur le fournisseur Internet chinois Baidu.com du même nom, mais le Yuange sur ce blog semble être un pirate de la vieille école de la société chinoise de sécurité Internet NSFocus OMS réclamations n’avoir rien à voir avec l’exploit RSA. Il se plaint également que le « Yuange1975 » sur Twitter est se faisant passer pour lui.
Ni le Twitter Yuange ni le Baidu Yuange n’ont répondu aux demandes d’interviews. Franck IP, vice-président des opérations en Amérique du Nord pour NSFocus, a déclaré que le Baidu Yuange est un homme nommé Yuan Reguang, l’un des 12 co-fondateurs de NSFocus, et que Renguang a quitté l’entreprise en 2005 pour créer sa propre entreprise de prévention des pertes de données. Ip a déclaré que Renguang était usurpé et qu’il était assez largement respecté en Chine.
« Non seulement c’est [Twitter] imitateur utilisant son nom, mais il a volé [Renguang’s] image », a déclaré Ip, ajoutant que le vrai Yuange ne parle pas anglais et n’a jamais rien publié en anglais, alors que le Twitter Yuange ne tweete qu’en anglais.
Plus tôt ce mois-ci, Reuter a couru une histoire sur la base de câbles diplomatiques secrets du département d’État américain publiés par Wikileaks. L’article relatait le vol de téraoctets de données aux entreprises américaines et au gouvernement au cours des dernières années, et attribuait les attaques à des unités d’espionnage électronique spécialisées au sein de l’Armée populaire de libération (APL) chinoise. Mais cet article ne s’adressait pas aux légions de pirates informatiques civils qui mènent les mêmes catégories d’attaques pour des raisons patriotiques, pour se vanter ou simplement pour gagner de l’argent.
Image : thedarkvisitor.com
Scott Hendersonanalyste militaire à l’US Army Bureau des études militaires étrangères à pi. Leavenworth, Kansas, a beaucoup écrit sur ce phénomène dans son eBook intitulé « The Dark Visitor » (co-auteurs Henderson un blog à propos de ce sujet). Henderson a déclaré qu’il se peut que l’attaque RSA ait été lancée par des membres de ce qu’on appelle le Alliance des hackers rougesun réseau de pirates informatiques nationalistes chinois composé de nombreux sites Web indépendants directement liés les uns aux autres, dans lequel des sites individuels éduquent leurs membres sur les techniques d’attaque et d’intrusion informatiques. Henderson a déclaré que la Red Hacker Alliance se caractérise par le fait que ses membres lancent des attaques coordonnées contre des gouvernements et des entités étrangères pour protéger les injustices réelles et perçues faites à leur nation, mais que les motivations monétaires deviennent de plus en plus aussi importantes que la passion patriotique.
« C’est intéressant parce que beaucoup de ces gars font ce genre de choses au grand jour, et vous devez vous demander pourquoi, et quel est le rapport risque-récompense pour ces gars-là, et est-ce que [the Chinese government] utilisez-les comme un marteau politique ou comme un quasi-réseau de collecte de renseignements qui est tacitement approuvé par Pékin, et je pense que vous devriez dire « oui » à tout cela », a déclaré Henderson lors d’un entretien téléphonique. « Je ne pense pas qu’il y ait eu suffisamment de pression sur Pékin pour que cela change, parce que ces gars-là sont très ouverts et parlent de ce qu’ils font, et dans certains cas, presque externalisent leur travail. »
Henderson a déclaré que l’aspect commun le plus dommageable de toutes les attaques est que les assaillants ne semblent jamais abandonner. « Nous entendons parler de ces attaques vraiment sophistiquées que ces types font, mais en réalité, cela se résume toujours à de l’ingénierie sociale », a déclaré Henderson. « Ils envoient suffisamment d’e-mails à suffisamment de destinataires dans l’entreprise X pour que quelqu’un finisse par cliquer dessus et que, soudainement, l’attaquant ait accès au système de la cible. Il y a tellement de ces groupes et cette activité se poursuit si continuellement que le défi consiste à essayer de comprendre exactement ce que nous devrions examiner. Je me demande toujours, si c’est ça qu’on voit, où sont les bons gars, ceux qu’on ne voit pas ? Si les attaques réussies sont si flagrantes et ouvertes, et que ces gars ne sont probablement pas la crème de la crème, où sont les vraiment bons ? »
Ceci est le premier d’une série d’histoires planifiées sur l’attaque RSA et la menace des menaces persistantes avancées.