Menaces sur le réseau -Securité informatique

[ironman]

Des chercheurs en sécurité ont identifié un groupe de pirates probablement à la solde d’acteurs privés. Il pénètre en douce dans les réseaux de grandes entreprises pour voler des informations confidentielles.

Ils ont piraté Twitter, Facebook, Apple et Microsoft et une quarantaine d’autres grandes entreprises durant ces trois dernières années. Ils ont un très bon niveau technique, et ils gagnent beaucoup d’argent. Bienvenue dans le monde de Butterfly, un groupe de pirates qui s’est spécialisé dans l’espionnage économique, des mercenaires probablement employés par des investisseurs ou des concurrents qui sont à la recherche d’informations confidentielles. C’est en tous les cas la conclusion à laquelle est venu Gavin O’Gorman. Cet analyste de Symantec a présenté aujourd’hui les détails techniques des attaques de Butterfly à l’occasion de la conférence de sécurité Botconf 2015, à Paris.


La piste du vol d’informations confidentielles a été particulièrement flagrante pour une compagnie aérienne nord-américaine et une société pharmaceutique. Dans les deux cas, le piratage a été exécuté peu de temps après la parution d’un article de presse qui annonçait un changement important pouvant influer sur le cours de bourse. « Ils pénètrent le réseau, volent les informations et les revendent à des brokers. Pour ces derniers, c’est finalement une façon très efficace de faire de l’argent, car l’opération est très difficile à pister », explique le chercheur.




Symantec - Victimes de Butterfly


En tous les cas, les affaires marchent visiblement très bien pour ces pirates, car ils utilisent des failles zero-day qu’ils achètent très probablement à la demande sur le marché noir. Compte tenu de la rapidité d’exécution de leurs campagnes, ils ne pourraient pas attendre que l’un d’entre eux mette la main sur une telle vulnérabilité. Ainsi, en février 2013, lorsqu’ils ont attaqué les sociétés high-tech, ils se sont appuyé sur une faille zero-day Java. En 2014, ils ont utilisé une faille zero-day dans Internet Explorer 10. « Une telle faille dans Internet Explorer coûte au moins 100.000 dollars, voire même plusieurs centaines de milliers de dollars », souligne Gavin O’Gorman.


Le niveau technique des pirates « n’est pas démentiel », mais suffisamment élevé pour susciter l’étonnement chez l’analyste de Symantec. Il a pu récupérer l’image d’un des serveurs de commande et contrôle (C&C). Celui-ci ne comportait rien, mise à part un gros fichier de 400 Go intitulé « HD-porn-corrupted_tofix.rar ». Evidemment, il ne s’agit pas réellement d’un fichier X, mais du fichier d’une machine virtuelle VirtualBox chiffrée en TrueCrypt. Les opérations de piratage étaient réalisées au travers de cette machine. Une fois terminées, rien d’exploitable ne pouvait être récupéré sur la machine physique, même en cas de perquisition. « C’est la première fois que je vois un telle niveau de sécurité opérationnelle dans un serveur C&C », ajoute Gavin O’Gorman qui, en revanche, a remarqué certaines lacunes au niveau de la détection de moteurs antivirus et ou du camouflage de processus en mémoire. C’est une raison de plus pourquoi Symantec ne pense pas qu’il s’agit là d’un service secret, car les agences de renseignement maitrisent plutôt bien ces sujets.



Peut-être basé aux Etats-Unis

Au niveau de l’équipe, plusieurs indices relatifs à la langue et aux horaires d’activité semblent indiquer qu’il s’agit d’un petit groupe dispersé aux quatre coins du monde, mais basé aux Etats-Unis. Par ailleurs, son niveau de dangerosité semble également plus élevé que pour d’autres groupes d’espionnage similaires. « Dans un cas, ils ont réussi à accéder physiquement à l’ordinateur d’une victime dans son domicile pour installer un malware », relate Gavin O’Gorman. Un mode opératoire qui fait penser au contre-espionnage et qui explique pourquoi l’analyste n’a pas voulu être filmé pendant sa présentation.


Symantec a publié un livre blanc en juillet dernier sur Butterfly, avec la clé de nombreux détails techniques. « Depuis, nous ne percevons plus aucune activité sur ce groupe. Il est probable qu’il soit en train de renouveler tous ses outils », ajoute l’analyste. Mais une chose est certaine, Butterfly frappera à nouveau.

[ironman]

Microsoft a collaboré avec les forces de l'ordre de plusieurs pays pour mener une attaque contre les infrastructures du botnet Dorkbot.

Microsoft a annoncé en ce début décembre 2015 avoir participé au démantèlement de l’un des plus grands botnets du moment, Dorkbot. Ce réseau de machines zombies avait réussi à infecter plus d’un million de PC dans 190 pays.


Le malware distribué par le botnet, dont l’objectif était de voler des identifiants et mot de passe de services tels que Gmail, Facebook, PayPal ou encore Netflix, se propageait par des clés USB, des messages sur des réseaux sociaux ou des messageries instantanées, par e-mail ou encore via des téléchargements sur des sites malveillants. Dorkbot exploitait en effet la moindre faille logicielle ou un système de ver.


Si les premiers dégâts liés à Dorkbot ont été repérés en 2011, Microsoft rappelle que Windows Defender ainsi que d’autres antivirus étaient capables de détecter le danger. Les PC infectés étaient donc des machines ayant une ancienne version de Windows ou ne disposant pas d’antivirus. Et ils sont encore nombreux puisque Dorkbot a été détecté sur une moyenne de 100 000 PC chaque mois au cours du dernier semestre. Il était donc temps d’agir.



Microsoft -


De plus, les créateurs du botnet avaient diffusé un kit sur le Deep Web, NgrBot, permettant de l’utiliser pour en construire d’autres plus puissants.









L’éditeur n’a toutefois pas détaillé comment il s’y était pris pour perturber les infrastuctures du botnet. Il s’est contenté de dire qu’il avait participé à une action coordonnée avec plusieurs agences de sécurité dont le FBI, Europol, le Cert polonais et la commission canadienne de radio-télévision et de télécommunications.