Il s’agit du deuxième volet d’une série en plusieurs parties examinant les outils et les tactiques utilisés par les attaquants dans la faille RSA et d’autres intrusions récentes sur le réseau qualifiées de « menaces persistantes avancées » et « ultra-sophistiquées ». Si vous avez manqué la première partie, veuillez consulter Tweets persistants avancés : Zero-Day en 140 caractères.
La récente violation de données chez le géant de l’industrie de la sécurité RSA a été une nouvelle déconcertante pour la communauté de la sécurité : RSA prétend être « le premier fournisseur de solutions de sécurité, de gestion des risques et de conformité pour l’accélération des activités » et le « partenaire de sécurité choisi par plus de 90 % des Fortune 500.
Les pirates qui ont fait irruption dans RSA semblent avoir exploité certains des mêmes sites Web, outils et services utilisés dans cette attaque pour infiltrer des dizaines d’autres sociétés au cours de l’année écoulée, y compris certaines des sociétés Fortune 500 protégées par RSA, selon de nouvelles informations. . De plus, les assaillants ont déplacé leurs opérations de ces sites très récemment, après que leurs emplacements ont été révélés dans un rapport publié en ligne par le Équipe américaine de préparation aux urgences informatiques (US-CERT)une division du Département américain de la sécurité intérieure.
Dans L’explication de RSA sur l’attaqueil a indiqué trois domaines qui, selon lui, étaient utilisés pour télécharger des logiciels malveillants et pour siphonner des données sensibles extraites de ses réseaux internes : Bien[DOT]mincir[DOT]com, up82673[DOT]hopto[DOT]org et www[DOT]cz88[DOT]rapporter. Mais d’après des entretiens avec plusieurs experts en sécurité qui surveillent de près ces domaines, les sites Web en question n’étaient pas simplement des sites d’attaques ponctuelles : ils avaient acquis la réputation de rampes de lancement pour le même type d’attaques pendant au moins une période de 12 mois avant la divulgation de la violation RSA.
De plus, les mêmes domaines envoyaient et recevaient des connexions Internet de dizaines d’entreprises du Fortune 500 pendant cette période, selon une société basée à Atlanta. Damballa, une entreprise qui extrait des données sur les attaques de logiciels malveillants à l’aide d’un réseau de capteurs déployés chez les fournisseurs de services Internet et les grandes entreprises du monde entier. Damballa surveille les serveurs du système de noms de domaine (DNS) de ces réseaux, recherchant le trafic entre les bons hôtes connus et les emplacements hostiles connus ou suspectés.
Günter Ollmann, vice-président de la recherche de Damballa, a déclaré que depuis plus d’un an, sa société surveillait les trois sites malveillants qui, selon RSA, étaient impliqués dans le vol de sa propriété intellectuelle, et que de nombreuses autres grandes entreprises avaient eu des communications étendues avec ces domaines hostiles. pendant ce temps. Il a ajouté que son entreprise n’était pas en mesure de nommer les autres entreprises touchées par la violation et que Damballa aidait les autorités fédérales dans les enquêtes en cours.
« Il existe de nombreux logiciels malveillants qui se sont appuyés sur ces domaines pour la commande et le contrôle », a déclaré Ollmann. «Nous savons qui sont les victimes, à peu près combien d’appareils au sein de ces organisations de victimes ont été compromis et sont toujours compromis. RSA n’a pas été la seule victime de ces attaques.
RSA a déclaré que les attaquants avaient volé des informations liées à son SecurID produits d’authentification à deux facteurs. La société a gardé le silence sur ce qui a été pris exactement, et on ne sait toujours pas combien de données sensibles ont été volées à d’autres organisations compromises par la même infrastructure utilisée pour attaquer RSA.
Mais les méthodes utilisées dans les intrusions – qui ont commencé par l’exploitation ciblée de failles de sécurité « zero-day » jusque-là non documentées – portent la signature de celles relatées dans une série de des câbles du département d’État américain ont récemment fait l’objet d’une fuite. Ces communiqués détaillent plus d’une demi-décennie de cyberattaques incessantes et sophistiquées attribuées aux efforts parrainés par l’État chinois pour extraire des secrets commerciaux et de sécurité nationale du gouvernement américain et du secteur privé.
La compromission apparente de tant d’organisations aux mains d’un adversaire qui a lancé une attaque après l’autre à partir de la même infrastructure soulève la question : si ces domaines étaient connus pour être si mauvais pendant si longtemps, comment tant d’organisations – y compris celles qui se spécialisent dans la fourniture de services de sécurité Internet – n’ont pas simplement bloqué toutes les communications vers et depuis ces sites malveillants ?
« Dans ce cas, les logiciels malveillants et leurs domaines associés étaient connus depuis très longtemps », a déclaré Ollmann. « Il n’y a aucune excuse pour que les organisations ne bloquent pas [access to] ces sites et canaux de communication.
Le partage d’informations en temps opportun sur les nouvelles cybermenaces sophistiquées a été et reste un point faible majeur pour le gouvernement et le secteur privé. Une partie du problème, selon les experts, est que certaines organisations de victimes ne sont pas au courant des compromissions systémiques sur leurs réseaux jusqu’à ce qu’elles soient alertées des mois plus tard par les responsables de l’application des lois. À ce moment-là, les attaquants auront eu amplement le temps de se déplacer latéralement à travers le réseau de la cible et de voler la propriété intellectuelle et d’autres données exclusives. D’autres victimes peuvent simplement craindre que le partage d’informations sur de telles attaques n’entraîne l’obligation de reconnaître publiquement une atteinte à la sécurité.
« Ce que beaucoup de gens doivent comprendre, c’est qu’une stratégie nationale concertée et organisée est orchestrée contre notre pays et d’autres », a déclaré un expert en sécurité qui a aidé un certain nombre d’organisations à répondre à ces attaques sophistiquées, mais qui s’est exprimé sur sous condition d’anonymat parce qu’il n’était pas autorisé à parler à la presse. « Peu d’entreprises de sécurité se concentrent sur cette menace. Nous risquons d’être complètement dépassés et surpassés [if we don’t] travailler ensemble dans une défense collective.