[ad_1]

Une série d’attaques ciblées récentes et en cours impliquant des compromis sur des sites Web de premier plan devrait servir de rappel à réfléchir sur la nécessité d’être vigilant lors de l’application des mises à jour du navigateur. Les pirates ont frappé un certain nombre de sites Web importants de politique étrangère et de groupes de défense des droits de l’homme, les configurant pour servir des logiciels espions en exploitant les failles récemment corrigées dans des logiciels largement utilisés à partir de Adobe et Oracle.

Les derniers rapports sur cette apparente activité de cyberespionnage proviennent d’experts en sécurité de Shadowserver.org, une organisation à but non lucratif qui suit les attaques de logiciels malveillants généralement associées aux acteurs dits de « menace persistante avancée » (APT). APT est un terme controversé qui signifie beaucoup de choses pour différentes personnes, mais même les détracteurs de la surutilisation de l’acronyme reconnaissent qu’il est devenu un raccourci utile pour « Nous sommes presque sûrs qu’il vient de Chine ».

Un diagramme illustrant l’attaque (nettoyée depuis) ​​sur le site Web du Center for Defence Information.

Un coup d’œil à la liste des sites qui diffusent actuellement un exploit pour attaquer un nouveau patch Adobe Flash Player vulnérabilité (CVE-2012-0779) montre comment cette sténographie est obtenue. Shadowserver a découvert des exploits Flash attendant les visiteurs des sites Web pour Amnesty International Hong Kong et le Centre d’information sur la défense, un groupe de réflexion de Washington, DC. La page d’accueil du Institut international de lutte contre le terrorisme a été découvert qu’il diffusait des logiciels malveillants via un récent OracleJava vulnérabilité (CVE-2012-0507), tandis que la Ministère cambodgien des Affaires étrangères le site indiquait à la fois des exploits Flash et Java.

« Ces derniers mois, nous avons continué à observer l’émergence de vulnérabilités 0-day suite à la découverte de leur utilisation dans la nature pour mener des attaques de cyberespionnage », ont écrit des volontaires de Shadowserver. Steven Adair et Ned Morandans un article de blog sur les attaques, qu’ils ont surnommées « compromis Web stratégiques ».

« Fréquemment, au moment où un correctif est publié pour les vulnérabilités, l’exploit est déjà dans la nature depuis plusieurs semaines ou plusieurs mois, ce qui donne aux attaquants une très grande longueur d’avance », ont-ils écrit. « L’objectif n’est pas la distribution à grande échelle de logiciels malveillants via des compromis de masse. Au lieu de cela, les attaquants placent leur code d’exploitation sur des sites Web qui s’adressent à un ensemble particulier de visiteurs qui pourraient les intéresser.

Les découvertes surviennent quelques jours seulement après que le fournisseur de sécurité Websense a trouvé que le site pour Amnesty International Royaume-Uni (AIUK) hébergeait le même exploit Java. Selon Shadowserver, d’autres sites qui ont été compromis par des attaques remarquablement similaires, mais qui ont été nettoyés depuis, incluent ceux appartenant au Centre de recherche américain en Egyptela Institut d’études sur la sécurité nationaleet le Centre d’études politiques européennes.

Les experts de Shadowserver pensent que bon nombre des attaques ci-dessus sont probablement le travail du même groupe de piratage. Par exemple, Adair et Moran ont déclaré avoir trouvé « un lien clair » entre les pirates qui ont compromis le site AIUK lors de cet incident et une attaque distincte sur le même site en décembre 2011, une effraction signalée pour la première fois par BreachTrace.com. Certains des éléments communs des attaques incluent des adresses Internet et des fichiers identiques (jusqu’aux mêmes métadonnées internes) utilisés dans différentes attaques.

Adair et Moran ont également attiré l’attention sur les attaques ciblées qui exploitent la faille Flash (CVE-2012-0779) via des documents Microsoft Word, qui ont la capacité intégrée d’invoquer des objets Flash. Mila Parkourl’auteur du Blog Contagiodumppublié le 6 mai un regard exhaustif à une telle attaque.

J’espère qu’il est évident pour les lecteurs que les exploits exploités dans ces attaques de cyberespionnage pour voler la sécurité nationale et les secrets commerciaux sont les mêmes armes que les escrocs informatiques traditionnels utilisent pour voler des informations financières (en fait, la semaine dernière, j’ai blogué sur d’autres signes alléchants de chevauchement entre ces deux communautés apparemment disparates). Il est presque certain que cet exploit Flash sera bientôt regroupé dans des kits d’exploitation automatisés qui sont vendus à des malfaiteurs dans le milieu des cybercriminels, si ce n’est pas déjà fait. Si vous utilisez l’un des produits logiciels mentionnés ci-dessus et que vous avez pris du retard dans leur mise à jour, veuillez consulter les messages suivants :

8 mai 2012 : Adobe et Microsoft proposent des correctifs de sécurité critiques

4 mai 2012 : la mise à jour Flash critique corrige la faille Zero-Day

27 mars 2012 : nouvelle attaque Java intégrée aux packs d’exploits

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *