Aurora, des pirates de plus en plus compétents qui ciblent la Défense

Les chercheurs en sécurité qui surveillent les cybercriminels impliqués dans l’opération Aurora de 2009 ont constaté une hausse des compétence du groupe ainsi d'un degré élevé de sophistication dans leur modus operandi : progression des exploits de vulnérabilités zero-day en 2011 et au moins quatre failles tout aussi inédites au cours des derniers mois.

Les principales cibles d'Aurora semblent être les fournisseurs de l’armée américaine et ses partenaires, tels que des fabricants de composants électroniques et mécaniques, a indiqué une étude de Symantec dévoilée en fin de semaine dernière. Celle-ci souligne l’utilisation de failles inédites - dites zero-day - et le recours au phishing - ou hameçonnage - ciblé. Le groupe responsable de l’opération Aurora en 2009 utiliserait ainsi cette technique pour infecter les postes de travail d’employés des entreprises visées. Il aurait en outre introduit un style d’attaque dit «watering hole», visant les vulnérabilités de sites Web fréquemment visités par les employés de ces entreprises : les cybercriminels attendent que la victime visite le site compromis puis analysent son poste de travail à la recherche de vulnérabilités.

«Le groupe dispose apparemment d’une source illimitée de vulnérabilités inédites », estime ainsi Symantec qui baptise l’opération du nom de projet Elderwood, en s’appuyant sur le code source de l’exploit utilisé pour les attaques. «Les vulnérabilités sont utilisés selon les besoins, souvent très rapidement l’une après l’autre si la vulnérabilité exploitée est susceptible d’être très prochainement rendue publique.» 

Symantec estime que le groupe a utilisé environ 8 failles zero-day en 2011. Il aurait poursuivi ses attaques ciblées en 2012 et, depuis avril dernier, il se serait appuyé pour cela sur deux failles inédites dans le lecteur Flash, ainsi qu’une autre dans Internet Explorer et enfin une dernière, dans les Microsoft XML Core Services. Des failles comblées depuis.

Les attaques de l’opération Aurora ont été découvertes en décembre 2009. Google et des dizaines d’autres entreprises ont été victimes de cette opération dont l’origine supposée serait la Chine. Les attaquants semblent viser un grand nombre de cibles, dont des groupes de défense des droits de l’homme. Les victimes ont été infectées par le cheval de Troie Hydraq, via une vulnérabilité d’Internet Explorer. Ce logiciel malveillant ouvrait une porte dérobée sur la machine de la victime, permettant in fine aux attaquants d’infiltrer le réseau de l’entreprise visée.

Les activités du groupe de pirates font l'objet d'une étroite surveillance chez les experts en sécurité. Mais la détection des attaques reste difficile, souligne Eric Chien, directeur technique senior de Symantec Security Response. Selon lui, le groupe change constamment ses exécutables et son infrastructure de commande et de contrôle, tout en s’appuyant sur de nouveaux exploits. Le groupe travaille par vagues, visant activement ses cibles sur une période de trois mois, avant de se mettre en sommeil pour plusieurs mois.

«Les entreprises américaines sont clairement des cibles prédominantes dans les statistiques mais nous trouvons des traces de ce groupe partout dans le monde», explique Chien. «Ces gars sont tenaces; ils ont de la constance; et toutes les organisations concernées sont potentiellement vulnérables.» 

Eric Chien a indiqué que les chercheurs de Symantec ont détecté des éléments de code d’Hydraq dans les exécutables collectés dans le cadre d’attaques conduites en 2011 et en 2012. La couche de dissimulation du code malicieux est réutilisée, permettant aux antivirus et autres systèmes de protection d’être efficaces dans la détection du cheval de Troie, assure-t-il. 

Mais, selon Chien, le recours à des failles zero-day indique un haut niveau de qualification et de financement. «Ils disposent clairement d’une infrastructure avec des développeurs d’outils capables d'aider les opérateurs à conduire leurs attaques, estime-t-il. Nous ne disposons pas d’éléments indiquant qu’il s’agisse d’un gang de cybercriminels classiques. Ils cherchent des données relevant de la propriété intellectuelle, comme des plans, des codes sources, mais aussi des données d’espionnage industriel.» 

De son côté, Symantec a alerté les fournisseurs du secteur de la Défense qu'une nouvelle série d’attaques devrait survenir, selon lui, en 2013. Le groupe de pirates pourrait alors également viser les partenaires ou les filiales des entreprises ciblées.

Le groupe continue certes de recourir largement au phishing ciblé. Mais il emploie également, et de plus en plus souvent, la technique du Watering Hole, avance Symantec. Celle-ci a été initialement identifiée par RSA en juillet. Les vulnérabilités sont fréquentes dans les sites Web et elles permettent aux pirates d’injecter du code malicieux dans les iframes. Ils n’ont alors plus qu’à attendre que leur victime visite le site infecté. 

«Les attaquants sont susceptibles de compromettre un site Web des mois avant qu’ils ne l’utilisent pour une attaque, estiment les chercheurs de Symantec. Mais une fois le site compromis, les attaquants s’y connectent régulièrement pour vérifier qu’ils y ont encore accès.» 

Adapté de l’anglais par la rédaction


Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close