2015 Prévisions des menaces

persistantes avancées

Que nous dit la boule de cristal des APT ?

► Global Research and Analysis Team, depuis 2008

► Leadership en veille, recherche et innovation en

matière de menaces

► Focus : APT, menaces sur les infrastructures

stratégiques et les banques, attaques ciblées

sophistiquées

GREAT : Unité d'élite de recherche sur les menaces

Faits

Classification

Détection

Active

Duqu

Programme malveillant

de cyber-espionnage

Septembre 2011

Depuis 2010

• Cheval de Troie sophistiqué

• Agit comme une Backdoor dans un système

• Facilite le vol d'informations privées

Flame

Programme malveillant

de cyber-espionnage

Mai 2012

Depuis 2007

• Plus de 600 cibles spécifiques

• Peut se propager dans un réseau local ou via une clé USB

• Réalise des captures d'écran, enregistre l'activité audio, de saisie ainsi que le trafic réseau

Gauss

Programme malveillant

de cyber-espionnage

Juillet 2012

Depuis 2011

• Ensemble d'outils élaborés avec des modules exécutant un large éventail de fonctions

• La grande majorité des victimes se trouvaient au Liban

miniFlame

Programme malveillant

de cyber-espionnage

Octobre 2012

Depuis 2012

• Module de logiciel espion miniature mais complet

• Utilisé pour les attaques extrêmement ciblées

• Fonctionne en tant que programme malveillant autonome ou plug-in pour Flame

Red October

Attaque de cyber-

espionnage

Janvier 2013

Depuis 2007

• Une des premières attaques d'espionnage massives lancées à l'échelle mondiale

• Agences diplomatiques et gouvernementales ciblées

• Texte en langue russe dans les notes de code

NetTraveler

Séries d'attaques de

cyber-espionnage

Mai 2013

Depuis 2004

• 350 victimes de renom dans 40 pays

• Exploite les vulnérabilités connues

• Cible les entreprises privées, les établissements industriels et de recherche, les agences gouvernementales

Careto / The Mask

Attaque de cyber-espionnage

extrêmement sophistiquée

Février 2014

Depuis 2007

• Plus de 1 000 victimes dans 31 pays

• Ensemble d'outils complexes avec programmes malveillants, rootkit, bootkit

• Versions pour Windows, Mac OS X, Linux

• Considéré comme l'une des menaces persistantes avancées les plus sophistiquées

Menace

Découverte de menaces sophistiquées

apt.securelist.com

Ce registre des cyber-

attaques ciblées répertorie

toutes les cyber-attaques

complexes ou menaces

persistantes avancées (APT

pour Advanced Persistent

Threats) qui ont fait l'objet

d'investigations de la part de

l'équipe Global Research and

Analysis Team.

► Réduction du coût d'accès au marché

► Davantage de groupes d'APT

► Émergence de cyber-mercenaires

► Attaques contre les chaînes

d'approvisionnement

► Opérations de plus grande envergure

et frappes chirurgicales

► Attaques des infrastructures

stratégiques

► « Wipers », cyber-sabotage

Tendances 2014 des menaces persistantes avancées :

Prochaines étapes

Prévisions des menaces persistantes avancées pour 2015

Prévision : attaques visant

directement les banques,

pas leurs clients.

Fusion entre cyber-criminalité et menaces persistantes avancées

► Plusieurs banques ont été infiltrées à

l'aide de méthodes semblant tout droit

sorties d'un guide sur les menaces

persistantes avancées.

Prévision : base d'attaque élargie

(davantage d'entreprises

touchées). Sources d'attaque plus

nombreuses pour les grandes

entreprises.

Fragmentation des grands groupes d'APT

Groupes d'APT récemment exposés :

MSUpdater/PutterPanda, APT1/Comment Crew, Energetic

Bear, Turla, Regin et NetTraveler, ce qui a conduit à la

fragmentation de ces groupes et à la création de nouveaux.

► Davantage de programmes malveillants sont

mis à jour pour des systèmes 64 bits

► Y compris les rootkits

Prévision : plus d'implants

malveillants sophistiqués et de

techniques de contournement

avancées et systèmes de fichiers

virtuels plus souvent utilisés

Évolution des techniques malveillantes

► Plus de techniques persistantes avancées

► Persistance inter-plateforme

► Équipement réseau, appareils

intégrés, SCI

Nouvelles méthodes d'exfiltration de données

Prévision : davantage de groupes

utiliseront les services de cloud

pour une exfiltration encore plus

furtive et discrète.

Nouvelles méthodes d'exfiltration de données

► Compromission de sites Web

fiables

► WebDAV

► Requêtes DNS

► UDP

► ICMP

► …

► Cloud

De nouveaux pays rejoignent la course au cyber-

armement

► Langues inhabituelles repérées

dans des APT : allemand, vieil

italien, espagnol, coréen, français,

arabe

Prévision : aucune attaque

persistante avancée utilisant le

suédois n'a encore été découverte,

mais de plus en plus de pays vont

s'engager dans la course au cyber-

armement et développer leurs

compétences en cyber-

espionnage.

Prévision : avec une volonté accrue

des gouvernements de dénoncer

publiquement les cyber-criminels,

nous pensons que les groupes d'APT

vont ajuster leurs opérations en

conséquence et commencer à utiliser

de fausses bannières.

Utilisation de fausses bannières

► En 2014, nous avons observé plusieurs

opérations sous fausse bannière avec

utilisation de logiciels malveillants

« inactifs » habituellement utilisés par

d'autres groupes d'APT.

Prévision : en 2015, nous prévoyons

la multiplication des APT ciblant les

appareils mobiles, en particulier les

systèmes Android et iOS débridés.

iPhone1,1 iPhone1,2 iPhone2,1

iPhone3,1 iPhone3,2 iPhone3,3

iPhone4,1 iPhone5,1 iPhone5,2

iPad1,1 iPad2,1 iPad2,2

iPad2,3 iPad2,4 iPad3,1

iPad3,2 iPad3,3 iPad3,4

iPad3,5 iPad3,6 iPhone

iPhone 3G iPhone 3GS iPhone 4

iPhone 4 iPhone 4 (cdma) iPhone 4s

iPhone 5 (gsm) iPhone 5 iPad

iPad2 (wifi) iPad2 (gsm) iPad2 (cdma)

iPad2 (wifi) iPad3 (wifi) iPad3 (gsm)

iPad3 iPad4 (wifi) iPad4 (gsm)

iPad4

Nouvelles attaques mobiles

Prévision : en 2015, plusieurs autres

groupes devraient adopter cette

technique, mais elle restera hors de

portée de la grande majorité des

groupes d'APT.

Ciblage des réseaux d'hôtels

Les hôtels sont un excellent moyen de cibler

certaines catégories de personnes, telles que les

cadres d'entreprise.

► En général, les groupes d'APT font attention à

rester discrets lors de leurs opérations

► En 2014, nous avons remarqué que deux

groupes d'APT (Animal Farm et Darkhotel)

utilisaient des botnets en plus de leurs

opérations ciblées habituelles

► En plus des opérations DDoS, les botnets

offrent un autre avantage : ce sont des

appareils de surveillance de masse à

moindres frais, prisés par les « pays pauvres »

► Flame et Gauss, que nous avons découverts

en 2012, servaient d'outils de surveillance de

masse

Prévision : en 2015, davantage de

groupes d'APT suivront la tendance

qui consiste à utiliser des attaques

précises en parallèle d'opérations

bruyantes et déploieront leurs

propres botnets.

APT+Botnet : surveillance de masse ciblée

e-mail

Attaque massive versus attaque ciblée : l'exemple de Darkhotel

► Il est impossible de surveiller les

ventes de logiciels espions

► Tôt ou tard, ces logiciels dangereux

finissent entre les mains d'individus

ou d'États malintentionnés.

Prévision : le marché de la

surveillance légale étant un secteur à

haut rendement et faible risque, les

entreprises spécialisées dans ce

domaine vont se multiplier. Ces outils

seront utilisés tour à tour dans le

cadre d'opérations de cyber-

espionnage entre États, d'une

surveillance intérieure et peut-être

même de sabotage.

Commercialisation des menaces persistantes avancées

Quelles

solutions ?

Comment

protéger votre

entreprise

contre les APT

en 2015 ?

Connaissances sur les

menaces persistantes

avancées

Rapports de veille du GReAT Kaspersky Lab

sur les campagnes actives :

intelreports@kaspersky.com

Services de formation à la Cyber-sécurité

Services d'analyse des programmes

malveillants

Flux d'informations sur les menaces/suivi

d'activité des botnets

Stratégie d'atténuation des APT :

veille + technologie

Technologies avancées

Kaspersky Security Network : réaction immédiate

contre les menaces les plus récentes

Prévention automatique des vulnérabilités dans les

solutions de protection Kaspersky Lab : blocage proactif

de l’exploitation des failles utilisé lors d'attaques ciblées.

Exemple 1 : la fonction AEP a détecté de manière

proactive les composants de l'attaque d'espionnage Red

October

Exemple 2 : la fonction AEP a bloqué de manière proactive

le composant CVE-2013-3906 utilisé lors d'attaques

ciblées

Liste blanche / Mode de blocage par défaut

Conclusions

► 2014 a été une année plutôt sophistiquée et variée en termes

d'incidents APT

► Kaspersky Lab a découvert trois vulnérabilités zero-day en 2014

► A dévoilé plusieurs APT : The Mask/Careto, Darkhotel, Machete,

Epic Turla, Regin, Cloud Atlas

► Le qualificatif qui désignera 2015 est « insaisissable »

► Les groupes d'APT auront peur d'être exposés et prendront des

mesures plus évoluées pour rester dans l'ombre

► Opérations sous fausse bannière

Damien Billy

IT Security Consultant | Kaspersky Lab France

Damien.billy@kaspersky.fr

http://www.kaspersky.fr/entreprise-securite-it/

www.kaspersky.fr

#EnterpriseSec

Des questions ?