Rapport FireEye sur les menaces avancées 2 e semestre 2012

Rapport FireEye sur les menaces avancées 2 e semestre 2012

Rapport sur les menaces avancées Sommaire Résumé 2 Introduction et méthodologie 3 Constat 1 4 En moyenne, une entreprise est la cible d'un événement malveillant toutes les trois minutes Constat 2 5 Les technologies constituent le secteur le plus souvent ciblé Constat 3 6 Les attaques essuyées peuvent être tantôt cycliques, tantôt sporadiques, selon le secteur ciblé Constat 3A 6 Secteurs fortement volatils banque, services aux entreprises et secteur juridique Constat 3B 7 Secteurs moyennement volatils énergie, divertissement/médias, organismes publics, soins de santé, logistique et fabrication Constat 4 8 Les auteurs d'attaques incluent des termes courants à connotation professionnelle dans les noms de fichier à des fins de harponnage Constat 5 12 Les fichiers ZIP demeurent le support de prédilection pour la transmission de logiciels malveillants via la messagerie électronique Constat 6 13 Les auteurs de logiciels malveillants déploient des efforts considérables pour échapper à la détection Constat 7 14 Les auteurs d'attaques recourent de plus en plus souvent à des fichiers DLL pour accroître la persistance de leurs attaques À propos de FireEye 17 Constat 3C 8 Secteurs faiblement volatils technologies et télécommunications FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 1

Résumé Ce rapport propose une analyse détaillée de la nature des menaces avancées qui ciblent actuellement les entreprises. S'appuyant sur des données recueillies par FireEye au travers de milliers d'appliances déployées sur des sites de clients à travers le monde, et qui concernent 89 millions d'événements, ce rapport présente le paysage actuel des menaces, décrit les tactiques sans cesse renouvelées des menaces persistantes avancées et se penche sur le niveau d'infiltration actuel des menaces informatiques dans les réseaux d'entreprise. Il dresse plusieurs constats majeurs : En moyenne, une entreprise est la cible d'un événement malveillant toutes les trois minutes. Compte tenu de l'omniprésence des logiciels malveillants et de l'efficacité avec laquelle les attaques contournent les défenses traditionnelles pare-feux réseau, systèmes de prévention des intrusions (IPS) et logiciels antivirus, une entreprise est en moyenne confrontée toutes les trois minutes à une pièce jointe ou à un lien Web malveillant, ou encore au rappel d'un serveur de commande et de contrôle par des logiciels malveillants. Le niveau d'activité des logiciels malveillants varie d'un secteur à l'autre, pour atteindre un pic dans celui des technologies, qui enregistre environ un événement par minute. Les technologies constituent le secteur le plus souvent ciblé. En raison de la forte concentration d'éléments de propriété intellectuelle, les sociétés technologiques sont confrontées à une profusion de campagnes de logiciels malveillants, presque deux fois plus nombreuses qu'au sein du secteur classé en deuxième position. Les attaques essuyées peuvent être tantôt cycliques, tantôt sporadiques, selon le secteur ciblé. Certains secteurs (technologies, par exemple) subissent des attaques quasi continues, tandis que d'autres (comme les soins de santé) se caractérisent par une volatilité beaucoup plus grande, une situation due à certains événements clés ou au fait que les auteurs d'attaques font preuve de sélectivité dans les secteurs ciblés. Les auteurs d'attaques incluent des termes courants à connotation professionnelle dans les noms de fichier à des fins de harponnage. Le harponnage (spear phishing) demeure la technique la plus courante pour lancer des campagnes d'attaques recourant à des logiciels malveillants avancés. Dans leurs messages de harponnage, les pirates utilisent des noms de fichiers contenant des termes souvent utilisés dans le monde professionnel, afin d'amener les utilisateurs trop confiants à ouvrir la pièce jointe malveillante et à déclencher l'attaque. Ces termes relèvent de trois grandes catégories : le transport et la distribution, la finance et l'activité professionnelle en général. Ainsi, «UPS» est le terme qui revient le plus souvent dans les noms de fichiers dissimulant des logiciels malveillants. Les fichiers ZIP demeurent le support de prédilection pour la transmission de logiciels malveillants via la messagerie électronique. Dans 92 % des attaques, les logiciels malveillants sont distribués au moyen de fichiers au format ZIP. Les auteurs de logiciels malveillants déploient des efforts considérables pour échapper à la détection. Diverses innovations destinées à échapper plus efficacement à la détection ont fait leur apparition. Ainsi, certaines instances de logiciels malveillants s'exécutent uniquement en cas de mouvement de la souris, une tactique mise au point pour tromper la vigilance des systèmes de détection en environnement restreint (sandbox) dans la mesure où ces logiciels ne génèrent aucune activité. Par ailleurs, les auteurs de logiciels malveillants ont intégré une fonction de détection des machines virtuelles afin de contourner les technologies de sandboxing. Les auteurs d'attaques recourent de plus en plus souvent à des fichiers DLL pour accroître la persistance de leurs attaques. Les cyberpirates utilisent des fichiers DLL en lieu et place des fichiers plus courants de type.exe pour prolonger les infections. Ce rapport propose une analyse détaillée des tendances au sein de certains secteurs, ainsi qu'une étude de cas d'une attaque lancée dans le courant de l'année 2012. FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 2

Introduction et méthodologie Le Rapport FireEye sur les menaces avancées pour le deuxième semestre 2012 s'appuie sur les recherches et les analyses de tendances menées par FireEye Malware Intelligence Lab. Fondé sur des données recueillies au travers de milliers d'appliances déployées sur des sites de clients à travers le monde, et qui concernent 89 millions d'événements liés à des logiciels malveillants, ce rapport présente le paysage actuel des menaces, décrit les tactiques sans cesse renouvelées des menaces persistantes avancées et se penche sur le niveau d'infiltration actuel des menaces informatiques dans les réseaux d'entreprise. FireEye est bien placé pour apporter un éclairage sur les activités de ces attaques ciblées avancées. La plate-forme FireEye de protection contre les menaces est déployée sur des milliers de sites à travers le monde. Ces appliances collectent automatiquement des renseignements sur les menaces et les transmettent au cloud FireEye Dynamic Threat Intelligence (DTI), qui recueille également les résultats des recherches menées par FireEye Malware Intelligence Lab. Aux fins de ce rapport, FireEye Malware Intelligence Lab a recueilli des données dans des secteurs spécifiques et les a normalisées en fonction de chaque client de façon à offrir une base cohérente et fiable pour la comparaison des tendances et des activités selon les secteurs. Il est important de préciser que la plate-forme FireEye est déployée derrière des pare-feux (traditionnels ou de nouvelle génération), des systèmes IPS et des passerelles de sécurisation ; elle constitue la dernière ligne de défense pour les entreprises. Les activités avancées qui sont examinées dans ce rapport sont donc des attaques qui ont réussi à échapper aux défenses de première ligne. Grâce à cette perspective particulière, FireEye est en mesure de porter un regard éclairé sur les menaces avancées qui contournent régulièrement les technologies de protection basées sur les signatures, sur la réputation ou, plus simplement, sur le comportement. Des technologies qui coûtent chaque année environ 28 milliards de dollars aux entreprises, sans pour autant parvenir à contrer efficacement les menaces sophistiquées actuelles. Le rapport commence par présenter une série de tendances sectorielles. Il se penche ensuite sur le processus d'infection qui caractérise l'anatomie des attaques, notamment l'infection en soi, la charge active et les rappels. Enfin, il propose une analyse détaillée d'une campagne de logiciels malveillants de grande envergure connue sous le nom d'opération Beebus. Dépenses dans la sécurité informatique : un marché axé sur les renouvellements D'après IDC, le montant total des dépenses dans la sécurité informatique est passé de 12 à 28 milliards de dollars entre 2003 et 2011, avec peu de changement au niveau des types de technologies de sécurité achetées. En effet, les entreprises ont dépensé plus sans toutefois apporter de modifications majeures à leurs stratégies de sécurité. Cet immobilisme a permis aux auteurs de logiciels malveillants d'accéder à la pole position dans la course au cyberarmement. Dépenses dans la sécurité informatique par segment pour 2003 et 2011 35,0 % 30,0 % 2003 2011 Dépenses totales (%) 25,0 % 20,0 % 15,0 % 10,0 % 5,0 % 0,0 % Sécurisation des postes d'extrémité Sécurisation de la messagerie électronique Sécurisation du réseau Sécurisation de l'environnement Web Gestion des identités et des accès Gestion de la sécurité et des vulnérabilités Autres FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 3

Constat 1 : En moyenne, une entreprise est la cible d'un événement malveillant toutes les trois minutes Réception de messages électroniques malveillants, clic sur des liens présents sur des sites Web infectés, rappel d'un serveur de commande et contrôle par une machine infectée... En moyenne, une entreprise est la cible d'activités associées à des logiciels malveillants toutes les trois minutes, tous secteurs confondus. Événements malveillants par heure Technologies Logistique Fabrication Télécommunications Moyenne Services aux entreprises Soins de santé Banque/Finance Autres Énergie Divertissement/Médias Juridique 10 20 30 40 50 60 70 Ce flux quasiment ininterrompu d'attaques et d'activités témoigne d'une réalité fondamentale : ces attaques sont efficaces et génèrent des profits. Grâce aux techniques employées, les cybercriminels sont en mesure de contourner les mécanismes de sécurité en place, tels que les passerelles, les solutions IPS, les logiciels antivirus et les pare-feux traditionnels et de nouvelle génération. Ils peuvent ainsi atteindre leurs objectifs, quels qu'ils soient, qu'il s'agisse de s'enrichir, de voler des éléments de propriété intellectuelle ou de soutenir la cause d'un État. Presque toutes les entreprises sont la cible d'attaques avancées, indépendamment de leur secteur d'activités, avec toutefois certaines différences d'un secteur à l'autre. Les objectifs des auteurs d'attaques, les tactiques utilisées et la fréquence des attaques sont autant d'éléments qui peuvent varier de manière substantielle selon le secteur examiné. Dans les sections suivantes, nous examinons les similitudes et les différences constatées au sein des différents secteurs. FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 4

Constat 2 : Les technologies constituent le secteur le plus souvent ciblé En raison de la forte concentration d'éléments de propriété intellectuelle, les sociétés technologiques sont confrontées à une profusion de campagnes de logiciels malveillants, presque deux fois plus nombreuses qu'au sein du secteur classé en deuxième position. Le niveau d'activité des logiciels malveillants constaté fournit également des informations utiles sur les menaces ciblant les différents secteurs. Le graphique ci-dessous illustre cette activité pour des entreprises au sein de secteurs déterminés. Événements malveillants (moyenne) enregistrés au deuxième semestre 2012 par secteur Technologies Télécommunications Logistique/Transport Fabrication Banque/Finance/Assurance Services aux entreprises Soins de santé Autres Divertissement/Médias Organismes publics/ Administration publique nationale Energie et services d'intérêt collectif Juridique 5 000 10 000 15 000 20 000 25 000 30 000 35 000 40 000 45 000 50 000 Les entreprises de haute technologie dépassent largement les autres secteurs en termes d'activité malveillante, avec les télécommunications, la logistique et le transport, la fabrication et les services financiers complétant le quinté de tête. Diverses raisons font que ces secteurs sont davantage ciblés. En général, les entreprises actives dans le domaine des hautes technologies, des télécommunications et de la fabrication possèdent des éléments de propriété intellectuelle de valeur. Dans le cas des services financiers, la fraude et le vol constituent clairement des mobiles. FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 5

Constat 3 : Les attaques essuyées peuvent être tantôt cycliques, tantôt sporadiques, selon le secteur ciblé Certains secteurs (technologies, par exemple) subissent des attaques quasi continues, tandis que d'autres (comme les services aux entreprises) se caractérisent par une volatilité beaucoup plus grande. D'une manière générale, tous les secteurs enregistrent un taux d'activité élevé et constant tout au long de l'année. Les graphiques et les données proposés dans cette section reflètent les fluctuations de l'activité des logiciels malveillants en termes d'incidence pour chaque secteur, au cours du deuxième semestre 2012. Constat 3A : Secteurs fortement volatils banque, services aux entreprises et secteur juridique Au sein de ces secteurs, l'activité des logiciels malveillants a fortement fluctué jusqu'à 200 à 300 % au-dessus de la moyenne, et 60 % en dessous de celle-ci, au cours du 2 e semestre 2012. Secteurs fortement volatils : banque, services aux entreprises et secteur juridique 240 % Banque/Finance/Assurance 220 % Services aux entreprises 200 % Juridique Activité moyenne des logiciels malveillants (%) 180 % 160 % 140 % 120 % 100 % 80 % 60 % 40 % 20 % 0 % Juil. 2012 Août 2012 Sept. 2012 Oct. 2012 Nov. 2012 Déc. 2012 FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 6

Constat 3B : Secteurs moyennement volatils énergie, divertissement/médias, organismes publics, soins de santé, logistique et fabrication L'intérêt manifesté par les auteurs d'attaques à l'égard de ces secteurs varie dans une mesure limitée. En règle générale, ces secteurs n'ont pas enregistré de pic d'activité des logiciels malveillants de plus de 140 % par rapport à la moyenne. Ils mettent en lumière la difficulté de prédire les attaques. Ainsi, les soins de santé ont récemment été inscrits au nombre des priorités de la stratégie 2006-2020 pour le développement des sciences et des technologies de la Chine, ce qui a conduit à un déferlement de campagnes à l'encontre des entreprises de ce secteur 1. Secteurs moyennement volatils : énergie, divertissement/médias, organismes publics, soins de santé, logistique et fabrication Activité moyenne des logiciels malveillants (%) 240 % 220 % 200 % 180 % 160 % 140 % 120 % 100 % 80 % 60 % 40 % Energie et services d'intérêt collectif Divertissement/Médias Organismes publics/ Administration publique nationale Soins de santé Logistique/Transport Fabrication 20 % 0 % Juil. 2012 Août 2012 Sept. 2012 Oct. 2012 Nov. 2012 Déc. 2012 1 http://www.darkreading.com/threat-intelligence/167901121/security/attacks-breaches/240150858/medical-industry-under-attackby-chinese-hackers.html FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 7

Constat 3C : Secteurs faiblement volatils technologies et télécommunications Dans les secteurs des technologies et des télécommunications, l'activité des logiciels malveillants n'a pas fluctué de plus de 140 % par rapport à la moyenne. Cela signifie que les pirates voient dans ces secteurs des cibles attrayantes qui méritent une attention constante. Secteurs faiblement volatils : technologies et télécommunications 240 % 220 % Technologies Télécommunications 200 % Activité moyenne des logiciels malveillants (%) 180 % 160 % 140 % 120 % 100 % 80 % 60 % 40 % 20 % 0 % Juil. 2012 Août 2012 Sept. 2012 Oct. 2012 Nov. 2012 Déc. 2012 Constat 4 : Les auteurs d'attaques incluent des termes courants à connotation professionnelle dans les noms de fichier à des fins de harponnage Le harponnage (spear phishing) demeure la technique la plus courante pour lancer des campagnes d'attaques recourant à des logiciels malveillants avancés. Dans leurs messages de harponnage, les pirates utilisent des noms de fichiers contenant des termes souvent utilisés dans le monde professionnel, afin d'amener les utilisateurs trop confiants à ouvrir la pièce jointe malveillante et à déclencher l'attaque. Ces termes relèvent de trois grandes catégories : le transport et la distribution, la finance et l'activité professionnelle en général. Ainsi, «UPS» est le terme qui revient le plus souvent dans les noms de fichiers dissimulant des logiciels malveillants. Une tendance se dégage clairement de l'analyse des 20 noms de pièces jointes malveillantes les plus courants : l'utilisation de références à des sujets liés au monde professionnel dans ces noms de fichiers. Contrairement au spam à large spectre qui aboutit parfois dans des boîtes de réception personnelles, il est évident que les attaques avancées ciblent des employés travaillant pour des entreprises bien précises. FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 8

La liste suivante devrait intéresser les équipes en charge de la sécurité informatique et les aider à mettre à jour leurs règles de filtrage des e-mails. Ces informations extrêmement utiles pourront également être utilisées dans le cadre de programme de formation et de sensibilisation du personnel, et servir d'exemples concrets des dommages potentiels que peuvent provoquer des fichiers en apparence normaux et pertinents. Classement Nom du fichier Pourcentage des pièces jointes 1 Details.zip 6,9 % 2 UPS_document.zip 4,0 % 3 DCIM.zip 2,7 % 4 HP_Document.zip 2,6 % 5 Report.zip 1,9 % 6 Scan.zip 1,8 % 7 UPSDocument.zip 1,5 % 8 Amazon_Report.zip 1,2 % 9 postcard.zip 1,1 % 10 UPSdocument.zip 0,8 % 11 UK- Vodafone_MMS.zip 0,6 % 12 HP_Scan.zip 0,5 % 13 log_2012.zip 0,4 % 14 SnowFairy.zip 0,3 % 15 Changelog_10172012.zip 0,3 % 16 Change_2012.zip 0,3 % 17 Vodafone_MMS.zip 0,3 % 18 Changelog_2012.zip 0,3 % 19 changelog_2012.zip 0,3 % 20 RoyalMailTrackingService.zip 0,3 % Autres 71,9 % FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 9

La liste suivante répertorie les principaux termes relevés dans les noms des pièces jointes malveillantes. Les termes liés au transport sont parmi les plus prisés «UPS», «fedex», «myups» et «tracking» figurant au nombre des dix plus populaires. Les noms d'entreprise et les termes financiers sont deux autres catégories ayant la faveur des cyberpirates, tout comme «dcim», un nom de dossier par défaut utilisé pour le stockage de photos. Les auteurs d'attaques exploitent également les workflows de bureau standard. Ainsi, une technique couramment utilisée consiste à imiter l'envoi de documents numérisés dans des e-mails au moyen de scanners de bureau en y intégrant des termes tels que «scan», «hp» et «Xerox». Classement Terme Pourcentage des pièces jointes 1 ups 17,0 % 2 details 13,9 % 3 documents 10,6 % 4 fedex 7,4 % 5 myups 7,1 % 6 amazon 5,4 % 7 tracking 5,1 % 8 invoice 5,0 % 9 report 4,7 % 10 order 4,4 % 11 notification 3,8 % 12 scan 3,4 % 13 08 3,2 % 14 hp 3,1 % 15 IRS 2,9 % 16 booking 2,8 % 17 xerox 2,7 % 18 dcim 2,7 % 19 2012 2,7 % 20 label 2,3 % FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 10

Nous avons également constaté des fluctuations dans l'utilisation des liens et des pièces jointes. Les auteurs d'attaques ont eu recours aux deux pour infecter les systèmes ciblés au cours du deuxième semestre 2012. Mais si ces deux approches sont toujours employées, leur usage varie toutefois. Deux raisons principales expliquent ces fluctuations : Les exploits dont disposent les pirates Si un exploit zero-day est découvert dans Acrobat, par exemple, les entreprises enregistreront une hausse des logiciels malveillants distribués par le biais de PDF. De même, si un exploit est identifié dans un navigateur, le nombre d'attaques par le biais de ce canal augmentera. La préférence manifestée pour des cibles spécifiques Les fluctuations s'expliquent parfois par les préférences d'un groupe de cybercriminels spécifique. C'est notamment le cas des attaques à l'encontre du secteur des soins de santé décrites précédemment. Messages électroniques malveillants par vecteur de menace Activité moyenne des logiciels malveillants (%) 400 % 300 % 200 % 100 % 0 % Juil. 2012 Août 2012 Sept. 2012 Oct. 2012 Nov. 2012 Déc. 2012 Liens Pièces jointes Comparaison entre pièces jointes et liens FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 11

Constat 5 : Les fichiers ZIP demeurent le support de prédilection pour la transmission de logiciels malveillants via la messagerie électronique Une analyse des extensions des pièces jointes montre clairement que les fichiers.zip constituent de très loin le type de fichier le plus utilisé à l'heure actuelle. Cela s'explique par le fait qu'aucune entreprise ne bloque actuellement les fichiers dotés d'une telle extension, et les auteurs d'attaques le savent. Ces derniers utilisent en outre les fichiers.zip pour dissimuler leur charge active malveillante et échapper ainsi à la détection des logiciels d'analyse. Compte tenu de la très grande popularité des fichiers.zip et de l'efficacité avec laquelle ils contournent les mécanismes de sécurité traditionnels, les entreprises qui ne disposent pas d'outils capables d'analyser et de bloquer ces pièces jointes malveillantes pourraient se retrouver contraintes de bloquer tous les fichiers portant cette extension, une décision potentiellement lourde de conséquences pour leurs activités. Principales extensions des pièces jointes malveillantes 1 % 4 % 3 % zip pdf Autres exe 6% 92 % Pourcentage des extensions de pièces jointes malveillantes Web Une hausse des taux d'infection par des logiciels malveillants transmis via le Web a également été constatée, très probablement à cause des fêtes de fin d'année. FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 12

Infections par client 300 % 250 % Activité moyenne (%) 200 % 150 % 100 % 50 % 0 % Juil. 2012 Août 2012 Sept. 2012 Oct. 2012 Nov. 2012 Déc. 2012 Constat 6 : Les auteurs de logiciels malveillants déploient des efforts considérables pour échapper à la détection Diverses innovations destinées à échapper plus efficacement à la détection ont fait leur apparition. Ainsi, certaines instances de logiciels malveillants s'exécutent uniquement en cas de mouvement de la souris, une tactique mise au point pour tromper les systèmes élémentaires d'isolation (sandbox) des logiciels malveillants dans la mesure où ces logiciels donnent l'impression de n'être à l'origine d'aucune activité. 1. Dissimulation au sein des environnements restreints (sandbox) Les techniques de dissimulation pour échapper à l'analyse ne datent pas d'hier. Cela fait des années que le code malveillant utilise diverses méthodes pour contourner les systèmes de sécurité. Les logiciels malveillants vérifient par exemple la présence de noms de processus, de fichiers DLL et de pilotes associés à des technologies de sécurité spécifiques. Ces techniques ne cessent toutefois de se perfectionner. Ainsi, les chercheurs de FireEye assistent depuis peu à l'émergence de logiciels malveillants qui tentent d'échapper aux analyses automatiques réalisées par les programmes de sécurité dans des environnements restreints. Le logiciel malveillant n'entre en action que lorsque l'utilisateur exécute une commande à l'aide de sa souris. Dans la mesure où les systèmes d'analyse automatique n'utilisent pas ce type de commandes, les logiciels demeurent en sommeil et passent dès lors inaperçus lors des inspections en environnement restreint. (De plus amples informations sur ces tactiques de dissimulation sont disponibles à l'adresse suivante : http://www.fireeye.com/blog/ technical/2012/12/dont-click-the-left-mouse-button-trojan-upclicker.html.) 2. Des certifications numériques pas toujours fiables Ces six derniers mois, les chercheurs de FireEye ont assisté à une augmentation du nombre de logiciels malveillants dotés d'une signature numérique. De nombreuses technologies de sécurité font confiance aux fichiers signés et ne les analysent pas plus avant. En utilisant des certificats pour signer leurs logiciels malveillants, les cyberpirates réduisent ainsi le risque de détection. Les certificats utilisés pour la signature numérique de ces logiciels sont généralement piratés, volés ou révoqués, ou ne sont pas valides pour une quelconque raison. (Un article sur notre blog relate le parcours d'un logiciel malveillant ayant fait appel à un exploit zero-day signé à l'aide d'un certificat non valide : http://www.fireeye. com/blog/technical/cyber-exploits/2013/02/lady-boyle-comes-to-town-with-a-new-exploit.html.) FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 13

Constat 7 : Les auteurs d'attaques recourent de plus en plus souvent à des fichiers DLL pour accroître la persistance de leurs attaques Les mécanismes de défense traditionnels, tels que les logiciels antivirus, se concentrent sur l'identification des fichiers.exe. Pour échapper à la détection et prolonger l'infection, les cyberpirates délaissent peu à peu les fichiers.exe au profit de fichiers DLL. D'un point de vue technique, les fichiers DLL fonctionnent de la même manière que les fichiers.exe, c'est-à-dire qu'ils exécutent des logiciels, mais uniquement en cas d'invocation. Par exemple, un utilisateur qui souhaite imprimer un document invoquera un fichier DLL standard afin que celui-ci exécute le logiciel qui commande l'imprimante. L'utilisation de fichiers DLL permet au logiciel malveillant d'exercer un contrôle permanent dans la mesure où la charge active malveillante est automatiquement chargée chaque fois qu'une application vitale et couramment utilisée telle qu'internet Explorer est lancée à l'insu de l'utilisateur et sans intervention de sa part. Lorsque des commandes utilisateur sont nécessaires pour exécuter la charge active malveillante, le risque est nettement plus grand d'éveiller les soupçons de l'utilisateur et de voir celui-ci renoncer à exécuter l'action nécessaire au fonctionnement du logiciel malveillant. Les quatre principaux types de fichiers malveillants, tous vecteurs confondus 300 % zip pdf 250 % Autres exe Activité moyenne (%) 200 % 150 % 100 % 50 % 0 % Juil. 2012 Août 2012 Sept. 2012 Oct. 2012 Nov. 2012 Déc. 2012 Étude de cas d'une menace persistante avancée : Opération Beebus Cette étude de cas fait le point sur une menace persistante avancée révélée par FireEye, en présentant brièvement le groupe à l'origine de ces attaques, les tactiques utilisées et les moyens déployés pour contourner les systèmes de défense des entreprises. Les cibles de l'opération L'Opération Beebus semble cibler des entreprises de premier plan du secteur aéronautique et de la défense. FireEye a confirmé qu'au moins six grandes entreprises du secteur ont été touchées par l'attaque. L'Opération Beebus est toujours en cours et ne cesse d'évoluer, avec un seul objectif : recueillir un maximum d'informations sur les principales entreprises de l'aéronautique et de la défense, tout en s'efforçant d'échapper à la détection. FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 14

Déroulement de l'attaque Infection initiale Les menaces persistantes avancées de nouvelle génération ne constituent pas un tout monolithique, mais plutôt une combinaison d'attaques recourant à diverses techniques d'infiltration. Dans ce cas ci, les auteurs ont utilisé des documents et des livres blancs reconnus, publiés par des entreprises réputées, en guise de pièces jointes pour mener à bien leur attaque. Pour ce faire, ils ont transformé ces documents en principe sûrs en armes redoutables grâce à trois exploits PDF et à deux exploits Word. Exemples de noms de pièces jointes : sensorenvironments.doc FY2013_Budget_Request.doc RHT_SalaryGuide_2012.pdf NationalHumanRightsActionPlanofChi na(2012-2015).pdf Boeing_Current_Market_Outlook_2011_ to_2030.pdf dodd- frank-conflict-minerals.doc Global_A&D_outlook_2012.pdf Understandyourbloodtestreport.pdf SecurityPredictionsfor2012and2013.pdf DeptofDefenseFY12ASTTRSolicitationTopics ofinteresttoboeing.pdf Conflict- Minerals- Overview- for- KPMG.doc Persistance et dissimulation Si l'utilisateur dispose d'une version vulnérable du logiciel Microsoft Word/Adobe PDF et ouvre les fichiers infectés, sa machine se retrouve compromise. L'exploit ne dure que le temps de l'exécution du processus Microsoft Word/Adobe PDF, le but étant de permettre aux cybercriminels de télécharger ou d'injecter rapidement des logiciels malveillants pendant qu'ils ont le contrôle. Dans le cas des attaques d'ancienne génération, recherchées par la plupart des systèmes de défense traditionnels, les pirates utilisent des fichiers exécutables (.exe) qui se lancent au démarrage de l'application. Les attaques avancées ont renoncé à cette approche, qui attire bien trop l'attention. Plutôt que d'injecter un fichier.exe et de l'exécuter au démarrage, l'opération Beebus se montre beaucoup plus furtive. Les pirates injectent un fichier DLL appelé «ntshrui.dll» dans le répertoire «C:\windows». Ce nom de fichier a été choisi car il correspond à un fichier DLL valide de Windows, disponible dans un autre sous-répertoire de «C:\windows». L'injection du fichier malveillant dans un répertoire de niveau supérieur permet aux auteurs de l'attaque d'exploiter la vulnérabilité Windows de détournement de l'ordre de recherche des DLL. Celle-ci permet le chargement du fichier DLL malveillant par le processus critique de Windows «explorer.exe». Exécuté à l'ouverture d'une session, ce processus charge le fichier DLL malveillant, offrant ainsi à l'auteur de l'attaque un contrôle permanent sur le système. FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 15

Communication et surveillance L'Opération Beebus a été conçue à dessein pour passer inaperçue le plus longtemps possible. Pour ce faire, les auteurs de l'attaque ont accordé une attention particulière aux communications du logiciel malveillant avec les serveurs de commande et de contrôle. Dans un premier temps, ils ont choisi des domaines en apparence légitimes tels que «bee.businessconsults.net» (auquel Beebus doit son nom) pour établir des communications. Ils ont ensuite vérifié que les communications n'étaient pas en texte clair et n'avaient pas l'air suspect. À cette fin, ils ont codé leurs données en base 64 à l'aide d'une technique personnalisée, ce qui empêche la plupart des solutions de sécurité d'inspecter les communications. L'une des étapes fondamentales de l'opération Beebus consistait à surveiller les victimes. Comme l'attaque s'est déroulée sur un laps de temps très long et ne cesse de muter et d'évoluer, il est important pour les auteurs de surveiller leur progression et les succès engrangés. Les multiples campagnes déployées sur de nombreux mois dans le cadre de l'opération ont permis d'attaquer diverses entreprises, de cibler des employés occupant différents postes et d'utiliser des noms de fichiers différents lors des tentatives de harponnage. Toutes les informations recueillies étaient reliées entre elles par les codes de campagne utilisés par les cyberpirates pour rappeler le serveur de commande et de contrôle. Les auteurs de l'attaque ont ainsi pu distinguer les campagnes fructueuses de celles ayant échoué. Le code de la campagne était associé au fichier DLL malveillant injecté dans le répertoire «C:\windows». La plupart des codes de campagne choisis par les auteurs de l'attaque correspondaient à la date de la campagne (par exemple, 0111 signifiait janvier 2011). Le graphique ci-dessous montre les codes de campagne utilisés et le nombre d'attaques par harponnage associées à chacun. Codes de campagne 70 Nombre d'attaques par code de campagne 60 50 40 30 20 10 0 0830 osamu 0711 0510 0315 apr20 apr24 0111 0424 myw 0522 0518 0906 1221 FireEye, Inc. Rapport FireEye sur les menaces avancées 2 e semestre 2012 16

Le groupe derrière l'opération Beebus La taille et le degré de sophistication technologique des entreprises ciblées prouvent que les groupes derrière l'opération Beebus disposent de moyens financiers conséquents et de compétences pointues. Pour preuve, un lien a été établi entre cette campagne et le «Comment Group» (également baptisé «Byzantine Candor» par les services de renseignements américains), un collectif de piratage prolifique qui selon de nombreux experts, serait basé en Chine 2. Si les motivations des pirates ne sont pas connues pour l'instant, tout porte à croire que l'opération Beebus a pour mission de recueillir des renseignements. Conclusion Parvenir à comprendre l'opération Beebus permettra aux équipes de sécurité d'appréhender l'anatomie des menaces persistantes avancées. Mais surtout, Beebus met en lumière les failles des systèmes de défense actuels, dont les pare-feux réseau, les solutions IPS et les logiciels antivirus. L'épisode Beebus prouve malheureusement que, en matière de cyberattaques, les auteurs de logiciels malveillants ont actuellement le dessus. À propos de FireEye FireEye innove avec un système de protection contre les menaces de nouvelle génération qui aide les entreprises à se protéger contre les compromissions. Les cyberattaques sont plus sophistiquées que jamais : elles contournent désormais sans aucune difficulté les défenses traditionnelles basées sur les signatures, telles que les pare-feux de nouvelle génération, les solutions IPS, les logiciels antivirus et les passerelles, et s'insinuent dans la majorité des réseaux d'entreprise. En vue de compléter ces défenses traditionnelles, la plate-forme FireEye propose un modèle de sécurisation novateur contre les cyberattaques qui sévissent actuellement. Elle est la seule protection contre les menaces interentreprises capable d'identifier et de bloquer les cyberattaques en temps réel et de manière dynamique. La plate-forme FireEye repose sur un moteur de détection virtualisé sans signatures et sur un réseau d'informations sur les menaces dans le cloud, qui aident les entreprises à protéger leurs actifs contre les principaux vecteurs de menaces dont les cyberattaques transmises par le Web, la messagerie électronique, les terminaux mobiles ou dissimulées dans des fichiers. Elle est déployée dans plus de 40 pays, chez plus de 1 000 clients et partenaires, dont plus de 25 % des sociétés du classement Fortune 100. 2 http://www.businessweek.com/articles/2012-08-02/chinas-comment-group-hacks-europe-and-the-world 2013 FireEye, Inc. Tous droits réservés. FireEye est une marque commerciale de FireEye, Inc. Tous les autres noms de marques, de produits ou de services sont ou peuvent être des marques commerciales ou des marques de service de leurs propriétaires respectifs. WP.ATR.WW.042013 FireEye, Inc. 1440 McCarthy Blvd. Milpitas, CA 95035 +1 408 321 6300 france@fireeye.com www.fireeye.com