Prévisions des menaces persistantes avancées Que nous dit la...
Transcript of Prévisions des menaces persistantes avancées Que nous dit la...
2015 Prévisions des menaces
persistantes avancées
Que nous dit la boule de cristal des APT ?
► Global Research and Analysis Team, depuis 2008
► Leadership en veille, recherche et innovation en
matière de menaces
► Focus : APT, menaces sur les infrastructures
stratégiques et les banques, attaques ciblées
sophistiquées
GREAT : Unité d'élite de recherche sur les menaces
Faits
Classification
Détection
Active
Duqu
Programme malveillant
de cyber-espionnage
Septembre 2011
Depuis 2010
• Cheval de Troie sophistiqué
• Agit comme une Backdoor dans un système
• Facilite le vol d'informations privées
Flame
Programme malveillant
de cyber-espionnage
Mai 2012
Depuis 2007
• Plus de 600 cibles spécifiques
• Peut se propager dans un réseau local ou via une clé USB
• Réalise des captures d'écran, enregistre l'activité audio, de saisie ainsi que le trafic réseau
Gauss
Programme malveillant
de cyber-espionnage
Juillet 2012
Depuis 2011
• Ensemble d'outils élaborés avec des modules exécutant un large éventail de fonctions
• La grande majorité des victimes se trouvaient au Liban
miniFlame
Programme malveillant
de cyber-espionnage
Octobre 2012
Depuis 2012
• Module de logiciel espion miniature mais complet
• Utilisé pour les attaques extrêmement ciblées
• Fonctionne en tant que programme malveillant autonome ou plug-in pour Flame
Red October
Attaque de cyber-
espionnage
Janvier 2013
Depuis 2007
• Une des premières attaques d'espionnage massives lancées à l'échelle mondiale
• Agences diplomatiques et gouvernementales ciblées
• Texte en langue russe dans les notes de code
NetTraveler
Séries d'attaques de
cyber-espionnage
Mai 2013
Depuis 2004
• 350 victimes de renom dans 40 pays
• Exploite les vulnérabilités connues
• Cible les entreprises privées, les établissements industriels et de recherche, les agences gouvernementales
Careto / The Mask
Attaque de cyber-espionnage
extrêmement sophistiquée
Février 2014
Depuis 2007
• Plus de 1 000 victimes dans 31 pays
• Ensemble d'outils complexes avec programmes malveillants, rootkit, bootkit
• Versions pour Windows, Mac OS X, Linux
• Considéré comme l'une des menaces persistantes avancées les plus sophistiquées
Menace
Découverte de menaces sophistiquées
apt.securelist.com
Ce registre des cyber-
attaques ciblées répertorie
toutes les cyber-attaques
complexes ou menaces
persistantes avancées (APT
pour Advanced Persistent
Threats) qui ont fait l'objet
d'investigations de la part de
l'équipe Global Research and
Analysis Team.
► Réduction du coût d'accès au marché
► Davantage de groupes d'APT
► Émergence de cyber-mercenaires
► Attaques contre les chaînes
d'approvisionnement
► Opérations de plus grande envergure
et frappes chirurgicales
► Attaques des infrastructures
stratégiques
► « Wipers », cyber-sabotage
Tendances 2014 des menaces persistantes avancées :
Prochaines étapes
Prévisions des menaces persistantes avancées pour 2015
Prévision : attaques visant
directement les banques,
pas leurs clients.
Fusion entre cyber-criminalité et menaces persistantes avancées
► Plusieurs banques ont été infiltrées à
l'aide de méthodes semblant tout droit
sorties d'un guide sur les menaces
persistantes avancées.
Prévision : base d'attaque élargie
(davantage d'entreprises
touchées). Sources d'attaque plus
nombreuses pour les grandes
entreprises.
Fragmentation des grands groupes d'APT
Groupes d'APT récemment exposés :
MSUpdater/PutterPanda, APT1/Comment Crew, Energetic
Bear, Turla, Regin et NetTraveler, ce qui a conduit à la
fragmentation de ces groupes et à la création de nouveaux.
► Davantage de programmes malveillants sont
mis à jour pour des systèmes 64 bits
► Y compris les rootkits
Prévision : plus d'implants
malveillants sophistiqués et de
techniques de contournement
avancées et systèmes de fichiers
virtuels plus souvent utilisés
Évolution des techniques malveillantes
► Plus de techniques persistantes avancées
► Persistance inter-plateforme
► Équipement réseau, appareils
intégrés, SCI
Nouvelles méthodes d'exfiltration de données
Prévision : davantage de groupes
utiliseront les services de cloud
pour une exfiltration encore plus
furtive et discrète.
Nouvelles méthodes d'exfiltration de données
► Compromission de sites Web
fiables
► WebDAV
► Requêtes DNS
► UDP
► ICMP
► …
► Cloud
De nouveaux pays rejoignent la course au cyber-
armement
► Langues inhabituelles repérées
dans des APT : allemand, vieil
italien, espagnol, coréen, français,
arabe
Prévision : aucune attaque
persistante avancée utilisant le
suédois n'a encore été découverte,
mais de plus en plus de pays vont
s'engager dans la course au cyber-
armement et développer leurs
compétences en cyber-
espionnage.
Prévision : avec une volonté accrue
des gouvernements de dénoncer
publiquement les cyber-criminels,
nous pensons que les groupes d'APT
vont ajuster leurs opérations en
conséquence et commencer à utiliser
de fausses bannières.
Utilisation de fausses bannières
► En 2014, nous avons observé plusieurs
opérations sous fausse bannière avec
utilisation de logiciels malveillants
« inactifs » habituellement utilisés par
d'autres groupes d'APT.
Prévision : en 2015, nous prévoyons
la multiplication des APT ciblant les
appareils mobiles, en particulier les
systèmes Android et iOS débridés.
iPhone1,1 iPhone1,2 iPhone2,1
iPhone3,1 iPhone3,2 iPhone3,3
iPhone4,1 iPhone5,1 iPhone5,2
iPad1,1 iPad2,1 iPad2,2
iPad2,3 iPad2,4 iPad3,1
iPad3,2 iPad3,3 iPad3,4
iPad3,5 iPad3,6 iPhone
iPhone 3G iPhone 3GS iPhone 4
iPhone 4 iPhone 4 (cdma) iPhone 4s
iPhone 5 (gsm) iPhone 5 iPad
iPad2 (wifi) iPad2 (gsm) iPad2 (cdma)
iPad2 (wifi) iPad3 (wifi) iPad3 (gsm)
iPad3 iPad4 (wifi) iPad4 (gsm)
iPad4
Nouvelles attaques mobiles
Prévision : en 2015, plusieurs autres
groupes devraient adopter cette
technique, mais elle restera hors de
portée de la grande majorité des
groupes d'APT.
Ciblage des réseaux d'hôtels
Les hôtels sont un excellent moyen de cibler
certaines catégories de personnes, telles que les
cadres d'entreprise.
► En général, les groupes d'APT font attention à
rester discrets lors de leurs opérations
► En 2014, nous avons remarqué que deux
groupes d'APT (Animal Farm et Darkhotel)
utilisaient des botnets en plus de leurs
opérations ciblées habituelles
► En plus des opérations DDoS, les botnets
offrent un autre avantage : ce sont des
appareils de surveillance de masse à
moindres frais, prisés par les « pays pauvres »
► Flame et Gauss, que nous avons découverts
en 2012, servaient d'outils de surveillance de
masse
Prévision : en 2015, davantage de
groupes d'APT suivront la tendance
qui consiste à utiliser des attaques
précises en parallèle d'opérations
bruyantes et déploieront leurs
propres botnets.
APT+Botnet : surveillance de masse ciblée
Attaque massive versus attaque ciblée : l'exemple de Darkhotel
► Il est impossible de surveiller les
ventes de logiciels espions
► Tôt ou tard, ces logiciels dangereux
finissent entre les mains d'individus
ou d'États malintentionnés.
Prévision : le marché de la
surveillance légale étant un secteur à
haut rendement et faible risque, les
entreprises spécialisées dans ce
domaine vont se multiplier. Ces outils
seront utilisés tour à tour dans le
cadre d'opérations de cyber-
espionnage entre États, d'une
surveillance intérieure et peut-être
même de sabotage.
Commercialisation des menaces persistantes avancées
Quelles
solutions ?
Comment
protéger votre
entreprise
contre les APT
en 2015 ?
Connaissances sur les
menaces persistantes
avancées
Rapports de veille du GReAT Kaspersky Lab
sur les campagnes actives :
Services de formation à la Cyber-sécurité
Services d'analyse des programmes
malveillants
Flux d'informations sur les menaces/suivi
d'activité des botnets
Stratégie d'atténuation des APT :
veille + technologie
Technologies avancées
Kaspersky Security Network : réaction immédiate
contre les menaces les plus récentes
Prévention automatique des vulnérabilités dans les
solutions de protection Kaspersky Lab : blocage proactif
de l’exploitation des failles utilisé lors d'attaques ciblées.
Exemple 1 : la fonction AEP a détecté de manière
proactive les composants de l'attaque d'espionnage Red
October
Exemple 2 : la fonction AEP a bloqué de manière proactive
le composant CVE-2013-3906 utilisé lors d'attaques
ciblées
Liste blanche / Mode de blocage par défaut
Conclusions
► 2014 a été une année plutôt sophistiquée et variée en termes
d'incidents APT
► Kaspersky Lab a découvert trois vulnérabilités zero-day en 2014
► A dévoilé plusieurs APT : The Mask/Careto, Darkhotel, Machete,
Epic Turla, Regin, Cloud Atlas
► Le qualificatif qui désignera 2015 est « insaisissable »
► Les groupes d'APT auront peur d'être exposés et prendront des
mesures plus évoluées pour rester dans l'ombre
► Opérations sous fausse bannière
Damien Billy
IT Security Consultant | Kaspersky Lab France
http://www.kaspersky.fr/entreprise-securite-it/
www.kaspersky.fr
#EnterpriseSec
Des questions ?