Spécial sécurité : Duqu, Nitro, l’APT d’automne se porte bien

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, font le point sur deux phénomènes qui ont émergé fin octobre : DuQu et Nitro . Tout en s’interrogeant une nouvelle fois sur la nature des très tendance APT. Ils pointent enfin du doigt le rachat de Dynasec par Checkpoint.

Sommaire
1 - Duqu, Nitro, l’APT d’automne se porte bien
2 - Checkpoint s’offre une GRC

1 - Duqu, Nitro, l’APT d’automne se porte bien
A peine vient-on d’oublier Beast (mais si, voyons… l’exploit SSL 1.0) que la mode des cyber-catastrophes se renouvelle. DuQu avait déjà fait l’objet d’un article sur le blog de Kostya Kortchinsky, c’est au tour de Secureworks d’y aller de sa « foire aux questions sur DuQu » : quels sont ses liens de parenté avec Stuxnet (liens d’inspiration technique doit-on préciser) ?, Quels sont ses constituants et les actions qu’il effectue ?, Comment détecter sa présence sur une machine ?… Rien de très nouveau si l’on a suivi avec attention les écrits et liens de l’Expert de Miami. Reste que, comme à l’accoutumé, l’analyse de Secureworks est un modèle de clarté : DuQu est un keylogger qui, bien que très « inspiré » en termes d’écriture par Stuxnet, ne vise en rien une infrastructure Scada ou industrielle. Tout ça, on le savait depuis longtemps. On nage toujours en plein mystère quant à l’origine de ce malware, mais une chose est certaine, ce n’est pas là de la graine d’APT... pour l’instant. Une modification de la charge utile commandée par le C&C pourrait éventuellement faire évoluer la qualification.

Nitro, en revanche, ça c’est de l’APT pur fruit d’arbre à hackeur, et qui vise directement les « Fortune 100 », nous apprend une étude de Symantec. Nitro serait en fait la énième attaque d’envergure, d’origine probablement chinoise, visant spécifiquement des entreprises US, Britanniques et Danoises (sic) qui œuvrent dans le secteur de la défense, de la chimie et des industries de pointe. Les machines infectées par ce virus-espion sont essentiellement situées aux USA, en Grande Bretagne… et au Bengladesh, pays possédant d’importants centres de sous-traitance informatique et de nombreuses filiales de sociétés Anglo-saxonnes. Les techniques d’extraction d’informations de Nitro sont relativement classiques et utilisent une variante du célèbre PoisonIvy, et les C&C pilotant le réseau de machines infectées semble pointer vers la Chine.

La Chine nie avec véhémence toute implication dans cette opération, tout comme elle a nié être derrière le piratage des 760 entreprises « p0wnées » en même temps que les serveurs de RSA et dont la liste a été récemment révélée par Brian Krebs.

Ces deux exemples posent une fois de plus la question « qu’est-ce qu’une APT ? » Ces « menaces évoluées et persistantes » ne sont généralement pas aussi évoluées qu’on voudrait bien le dire. Pas plus qu’elles ne sont persistantes, puisqu’elles se succèdent à un rythme plutôt soutenu, laissant supposer un certain caractère éphémère. En revanche, ces APT sont souvent très discrètes (le hack Areva en est la preuve) et peuvent n’être découvertes qu’un an, voire deux après les premières attaques. Une discrétion qui implique souvent une injection du vecteur d’infection très ciblée, presque « sur mesure ». Soit parce que le virus se suicide et efface toute trace de son passage si l’environnement ne correspond pas précisément à ce qu’il recherche, soit parce qu’il a été déposé « à la main ». Et c’est peut-être cette différence entre un vecteur d’infection générique (donc rapidement connu des éditeurs d’antivirus) et une attaque du calibre de Nitro qui caractérise une APT.

2 - Checkpoint s’offre une GRC
L’Israélien Checkpoint vient d’absorber Dynasec ltd, un spécialiste de la GRC (Gouvernance, gestion des Risques et Conformité), pour un montant qui n’a pas été communiqué.

La GRC est un secteur qui a le vent en poupe… surtout sur le créneau des entreprises « opéables ». Au début de ce mois, IBM s’offrait Q1 Lab et McAfee rachetait NitroSecurity. Car il s’agit là du chaînon manquant aux principaux constructeurs d’outils de défense périmétrique (NGFW, IPS) leur permettant d’effectuer des filtrages de contenu en fonction des « flux métiers » et de l’organisation hiérarchique définie par les différentes politiques de production et de sécurité. Ces GRC sont généralement (et c’est le cas également de la gamme Dynasec) accompagnées d’outils de gestion des évènements et de suivi des informations (SIEM).

Pour approfondir sur Menaces, Ransomwares, DDoS