Les experts en sécurité sont habitués aux attaques directes, mais certaines des incursions les plus insidieuses d’aujourd’hui réussissent de manière détournée – en implantant des logiciels malveillants sur des sites jugés les plus susceptibles d’être visités par les cibles d’intérêt. De nouvelles recherches suggèrent que ces tactiques dites de «point d’eau» ont récemment été utilisées comme tremplin pour mener des attaques d’espionnage contre une foule de cibles dans une variété d’industries, y compris la défense, le gouvernement, le milieu universitaire, les services financiers, la santé et les services publics. secteurs.
Les attaquants d’espionnage installent de plus en plus des pièges sur des sites «points d’eau», ceux fréquentés par des individus et des organisations étant ciblés.
Certains des premiers détails de cette tendance sont apparus fin juillet 2012 à partir de RSA First Watch, qui a mis en garde contre une technique d’attaque de plus en plus courante impliquant la compromission de sites Web légitimes spécifiques à une zone géographique dont l’attaquant pense qu’ils seront visités par des utilisateurs finaux appartenant à l’organisation qu’ils souhaitent pénétrer.
À l’époque, RSA a refusé de nommer individuellement les sites Web utilisés dans l’attaque. Mais l’entreprise a quelque peu changé de cap après que des chercheurs de Symantec ce mois-ci ont publié leur propre rapport sur la tendance (voir Le projet Elderwood). Pris ensemble, l’ensemble des preuves étaye des liens multiples et solides entre ces récentes attaques de point d’eau et le Intrusions d’aurores perpétrées fin 2009 contre Google et un certain nombre d’autres cibles de premier plan.
Dans un rapport publié aujourd’hui, les experts de RSA font allusion – mais ne nomment pas explicitement – certains des points d’eau. Au lieu de cela, le rapport supprime les URL complètes des sites piratés qui redirigeaient vers des sites d’exploitation dans cette campagne. Cependant, à travers Google et sa propension à mettre en cache le contenu, nous pouvons voir de première main les noms des sites qui ont été compromis dans cette campagne.
Selon RSA, l’un des principaux points d’eau était « un site Web de passionnés d’un sport moins connu ». hxxp://xxxxxxxcurling.com. Plus loin dans l’article, RSA répertorie certaines des pages individuelles de ce domaine sportif mystérieux qui ont été impliquées dans l’attaque (par exemple, http://www.xxxxxxxcurling.com/Results/cx/magma/iframe.js). En l’occurrence, l’exécution d’une recherche sur l’une de ces pages fait apparaître un certain nombre de journaux de visiteurs récents pour ce site – torontocurling.com. Google a mis en cache plusieurs des accéder journaux de ce site au moment de la compromission citée dans l’article de RSA, et ces journaux aident à remplir les blancs intentionnellement laissés par l’équipe de recherche de RSA, ou plus probablement, les avocats de la société mère de RSA EMC Corp. (ces journaux d’accès contiennent également des indices intéressants sur les victimes potentielles de cette attaque).
À partir de copies en cache de des dizaines de journaux d’accès à torontocurling.comnous pouvons voir les URL complètes de certains des points d’eau utilisés dans cette campagne :
- http://cartercenter.org
- http://princegeorgescountymd.gov
- http://rocklandtrust.com (Massachusetts Bank)
- http://ndi.org (Institut national démocratique)
- http://www.rferl.org (Radio Free Europe / Radio Liberty)
Selon RSA, les sites en question ont été piratés entre juin et juillet 2012 et redirigeaient silencieusement les visiteurs vers des pages d’exploitation sur torontocurling.com. Parmi les exploits servis par ce dernier, citons une vulnérabilité zero-day alors non corrigée dans Microsoft Windows (Services de base XML/CVE-2012-1889). Lors de cette attaque, les sites piratés ont introduit un programme cheval de Troie nommé « VPTray.exe » (conçu pour se déguiser en une mise à jour de Symantec, qui utilise le même nom pour l’un de ses composants de programme).
RSA a déclaré que la deuxième phase de l’attaque du point d’eau – du 16 au 18 juillet 2012 – a utilisé la même infrastructure mais un exploit différent – un Java vulnérabilité (CVE-2012-1723) qui Oracle avait patché moins d’un mois auparavant.
Source : RSA.
La compromission de ces sites a probablement conduit à la trojanisation de nombreuses cibles de premier plan, près de 4 000 au total, a conclu RSA.
« Sur la base de notre analyse, un total de 32 160 hôtes uniques, représentant 731 organisations mondiales uniques, ont été redirigés à partir de serveurs Web compromis injectés avec l’iframe de redirection vers le serveur d’exploit », a déclaré la société. « Parmi ces redirections, 3 934 hôtes téléchargent les fichiers d’exploitation CAB et JAR (indiquant un exploit réussi de l’hôte visiteur). Cela donne une statistique de « succès » de 12 %, ce qui, sur la base de notre compréhension précédente des campagnes d’exploitation, indique une campagne très réussie.
Les enseignements tirés de cette recherche sont les plus clairement énoncés par Symantec dans son Rapport Elderwood (PDF) : « Tous les fabricants qui font partie de la chaîne d’approvisionnement de la défense doivent se méfier des attaques émanant de filiales, de partenaires commerciaux et de sociétés associées, car elles peuvent avoir été compromises et utilisées comme tremplin vers la véritable cible visée. Les entreprises et les particuliers doivent se préparer à une nouvelle vague d’attaques en 2013. C’est notamment le cas des entreprises qui ont été compromises par le passé et ont réussi à expulser les attaquants. Les connaissances que les attaquants ont acquises lors de leur précédente compromission les aideront lors de futures attaques. »