L’adoption des attaques par point d’eau progresse, au détriment du phishing ciblé
Le phishing reste la technique d’attaque ciblée la plus populaire. Mais les attaques, plus difficiles à détecter, par point d’eau - watering hole - se développent rapidement.
Dans son premier rapport annuel sur les menaces informatiques, CrowdStrike, un spécialiste de la sécurité centré sur le renseignement sur les menaces, détaille les méthodes d’attaque et les motivations de plusieurs groupes malveillants basés notamment en Chine et en Russie, sur la bae d'analyses menés sur plusieurs incidents survenus en 2013. Selon CrowdStrike, le phishing reste la tactique la plus populaire pour conduire des attaques ciblées. Mais il alerte : les attaques par point d’eau, ou watering hole, gagnent en popularité et pourraient faire bien plus de victimes cette année que l’an passé.
CrowdStrike s’y réfère en employant le terme de « compromission stratégique de sites Web ». Ces attaques consistent à infecter un site Web légitime dans le but explicite de contaminer ses visiteurs. Le concept peut paraître simple, mais les attaques par point d’eau ont atteint avec succès de nombreuses grandes entreprises l’an passé, sous l’effet d’une mise en œuvre toujours plus subtile.
L’une de ces attaques les plus connues, en 2013, a visé un site Web du ministère américain du travail qui fournit des données sur les substances toxiques présentes dans les installations du ministère américain de l’énergie. CrowdStrike estime que les acteurs alors à l’œuvre visaient en fait à compromettre des employés du gouvernement américain et du secteur de l’énergie.
Pour cette opération, les attaquants ont injecté du code JavaScript dans le site Web du ministère du travail, afin de conduire ses visiteurs à télécharger un logiciel malveillant. Selon CrowdStrike, ce code était alors chargé d’analyser l’environnement utilisateur des visiteurs concernés afin de déterminer les extensions installées avec leur navigateur Web, et le logiciel antivirus de leur machine. Les attaquants exploitaient ensuite une faille d’Internet Explorer 8 afin d’installer le logiciel espion Poison Ivy. Cette faille a par la suite été comblée par Microsoft.
CrowdStrike souligne que les attaques par point d’eau ne manquent pas d’avantages par rapport au phishing ciblé, à commencer par la possibilité de contourner les dispositifs de filtrage des courriers électroniques ainsi qu’un risque opérationnel réduit pour les cybercriminels. Surtout, ces attaques sont difficiles à repérer.
« Alors que la conscience des menaces progresse, les victimes potentielles sont de plus en plus prudentes. Et si elles reconnaissent une tentative de phishing, elles peuvent bloquer immédiatement les attaquants, » relèvent les auteurs de l’étude. « Ce qui n’est pas le cas des opérations [de type watering hole] : à moins que les cibles n’aient mis en place des dispositifs pour détecter les compromissions ou de prévenir l’exploitation de failles, il n’y a pas de symptôme visible de l’activité malicieuse. »
Les attaques par point d’eau sont tellement furtives que même des employés d’Apple ont été victimes de celle visant iPhone Dev SDK, un forum très populaire auprès des développeurs iOS. Adam Meyers, vice-président de CrowdStrike en charge du renseignement, estime que cet incident s’est avéré particulièrement dévastateur en raison du manque de logiciels de sécurité pour les appareils Apple.
Toutefois, selon lui, certaines méthodes génériques peuvent aider les organisations à identifier une attaque par point d’eau avant d’en être la victime, notamment en se concentrant sur la couche réseau et en écrivant des règles spécifiques pour leurs systèmes de détection d’intrusion, règles adaptées aux méthodes utilisées pour le déploiement de logiciels malveillants à partir de points d’eau.
« Et, bien sûr, l’autre chose mise à profit par un grand nombre [d’attaquants utilisant cette tactique] est Java », relève Meyers. « Je pense que beaucoup ont retiré Java de leurs zones exposées à Internet. Limiter l’utilisation de Java réduit l’exposition [aux attaques par point d’eau]. »
L’armée électronique syrienne montre que phishing ciblé reste efficace
Les attaques par point d’eau se développent, mais Meyers insiste sur le fait que le phishing ciblé reste une menace très sérieuse. Et de souligner notamment les activités de l’armée électronique syrienne (SEA), à laquelle le rapport se réfère sous le nom Deadeye Jackal, à titre d’exemple de l’efficacité de telles attaques.
Lancée en 2011, au début de la guerre civile en Syrie, la SEA se concentrait initialement sur le détournement de sites Web de médias tels que la BBC et le New York Times qui publiaient des informations négatives sur le gouvernement syrien. Mais tout au long de 2013, la SEA a tenté de renforcer son contrôle sur les messages concernant le gouvernement syrien, en utilisant des techniques d’ingénierie sociale pour compromettre les comptes Twitter de médias, jusqu’à celui de l’agence Associated Press. Le rapport de CrowdStrike souligne que le groupe a lancé une campagne de phishing ciblé fin 2013, visant à collecter les identifiants utilisés par des médias américains.
Mais l’évolution la plus notable des tactiques de la SEA est survenue en juillet 2013, lorsque le groupe est parvenu à compromettre trois applications de communication bien connues : Truecaller, TangoMe, et Viber. Au moins dans le cas de TangoME, les attaquants sont parvenus à compromettre les identifiants d’employés de l’entreprise, par phishing ciblé. CrowdStrike pense que ces attaques visaient la base installée d’utilisateurs de ces applications : « ces [attaques] visaient à accéder à des plateformes de communication qui étaient utilisées par les rebelles ou des dissidents, selon la catégorie dans laquelle vous voulez les faire entrer. »
Pour Meyers, les organisations et les utilisateurs devront être particulièrement sur leurs gardes lors d’événements majeurs en 2014, tels que les Jeux Olympiques d’hiver de Sotchi, la Coupe du Monde au Brésil, et le sommet du G20 en Australie. Dans son rapport, CrowdStrike a souligné les activités d’un groupe appelé Numbered Panda, qui a utilisé le sommet 2013 du G20 pour une campagne de phishing à l’origine de la diffusion du logiciel malveillant ShowNews.
« Les grands événements de 2014 vont attirer l’attention des mêmes secteurs cibles. Il faut s’attendre à des opérations de phishing autour du G20, et il est possible que des attaques par point d’eau visent les sites Web d’organisations liées au G20, » alerte le rapport. « Les entités du secteur des services financiers, et les secteurs liés aux ONG et aux relations internationales devraient rester à l’affût d’activités ciblées durant les mois précédant cet événement. »
D’autres tendances émergentes
Le rapport souligne en outre plusieurs autres tendances face auxquelles les entreprises et les professionnels de la sécurité IT devraient rester vigilants en 2014. Tout d’abord, Meyers relève l’utilisation croissante de logiciels malveillants conçus pour détecter et contrer les techniques dites de sandboxing à base de machines virtuelles.
Meyers assure en avoir découvert un échantillon spécifique portant plusieurs charges malveillantes. La première est bloquée au niveau du pare-feu mais la seconde, réellement dangereuse, ne s’exécute que si elle a échoué à détecter un environnement virtualisé.
Meyers cite également la fin prochaine du support de Windows XP et le risque afférent pour les entreprises qui n’ont pas encore migré. CrowdStrike disposerait d’informations suggérant que les attaquants collectent les vulnérabilités de Windows XP et attendent la fin de son support pour commencer à les exploiter. « J’étais dans un restaurant et je regardais le système de point de vente. Il était sous Windows XP. Certains distributeurs automatiques et d’autres systèmes dans les aéroports, parfois des systèmes critiques que vous utilisez tous les jours, fonctionnent sous Windows XP », relève Meyers. « Un exploit sur Windows XP en 2014 pourrait s’avérer dévastateur parce qu’il n’y aura pas de correctif. »
Quelles que soient les techniques retenues par les attaquants en 2014, il ne fait aucun doute, pour Meyers, que les cybercriminels, les hacktivistes et les opérateurs étatiques chercheront à capitaliser sur les succès de 2013.
« Nous avons suivi 50 adversaires différents. Et je pense qu’ils mesurent l’efficacité de leurs campagnes. Ils mesurent à quel point c’est facile et à quel point ils sont puissants. Je pense qu’ils vont aller plus loin, » estime Meyers. « Nous observons un nombre croissant d’acteurs entrant en action. Les nouveaux venus sont nombreux et je ne pense pas que cela va s’arrêter. »
Adapté de l’anglais par la rédaction
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Mandiant fait passer Sandworm au niveau APT44 en raison de l’augmentation de la menace
-
CrowdStrike Global Threat Report : forte hausse des intrusions dans l’informatique cloud
-
Cyberhebdo du 1er décembre 2023 : une semaine détonante
-
Étude : selon CrowdStrike, la cyberextorsion se joue de plus en plus sans ransomware