Rapport des menaces en 2015 par F-Secure

RAPPORT SUR LES

MENACES2015

0302

RÉSUMÉ

INCEPTION

INTRUSION

INFECTION

INVASION

EFFRACTION DANS LE JARDIN CLOSFin 2015, l'App Store d'Apple a été victime d'une série d'incidents dus à l'utilisation d'outils infectés par des développeurs, créateurs malgré eux d'applications malveillantes. Passant outre le contrôle d'Apple, elles se sont immiscées dans sa plateforme et, de là, dans les périphériques iOS d'internautes.

PRÉSENTATION DES DUKESLes membres des Dukes forment un groupe de cyber espionnage hautement spécialisé, extrêmement bien organisé et doté de nombreuses ressources. Ils travailleraient pour la Fédération de Russie depuis au moins 2008 dans le but de recueillir des renseignements permettant d'influer sur les décisions prises en matière de politiques de sécurité et d'affaires étrangères.

CHAÎNE DE CONTAMINATION Étapes

2015 EN BREF Voici quelques-uns des événements majeurs de l'année en matière de cyber sécurité.

15/02 : Démantèlement du botnet Ramnit par Europol

15/07 : Fermeture du forum de piratage Darkode par le FBIPO

UR

SUIT

ES

15/07 : Piratage de Hacking Team, divulgation de données en ligne

15/09 : Début du nettoyage de l'App Store pour éradiquer XcodeGhostA

TTA

QU

ES

15/07 : Rappels Ford, Range Rover, Prius et Chrysler pour cause de bug

15/07 : Signalement de la faille Android StagefrightV

ULN

ÉRA

BIL

ITÉS

15/08 : Google corrige la faille de sécurité Android Stagefright

15/08 : Amazon et Chrome abandonnent les pubs FlashSÉ

CU

RIT

É D

ES

PRO

DU

ITS

08

2018

28

Njw0rm

Gamarue

Angler

Dorkbot

Kilim Nuclear

IppedoDridex

WormLink

PRINCIPALES FAMILLES DE MALWARENjw0rm a été la nouvelle famille de malware prédominante en 2015.

12

MENACES PAR ZONE GÉOGRAPHIQUEL'Europe a été particulièrement touchée par le kit d'exploitation Angler. De plus, elle a fréquemment été la cible de Trojan:JS/Redirector ainsi que d'attaques par fichiers contenant des macros qui téléchargent des ransomware. 15

CHAÎNE DE CONTAMINATIONLa chaîne de contamination est un modèle axé sur les utilisateurs qui illustre les combinaisons de tactiques et de ressources utilisées pour infecter leurs périphériques et leurs réseaux. Il comporte quatre grandes étapes : inception, intrusion, infection et invasion.

23

Les redirecteurs sèment la panique aux USA et dans l'UE (p. 28)

AnglerEK domine Flash (p. 29)

L'ascension des crypto-ransomware (p. 31)

Downadup pourrait-il se refaire une santé grâce à l'Internet des objets ? (p. 34)

Piratage DNS en 2015 : des botnets, des téléchargeurs et des voleurs d'informations (p. 33)

Ce rapport décrit en détail l'éventail des cyber menaces auxquelles particuliers et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous exposons ici nos remarques concernant les cas connus de malware détectés par les systèmes de renseignement anti-menace. Nous identifions par ailleurs plusieurs évolutions et tendances clés dans ce domaine.

Ce rapport introduit la « chaîne de contamination », un concept analytique permettant d'aider les lecteurs, en particulier ceux qui travaillent dans le domaine de la cyber sécurité et des technologies de l'information, à cerner les combinaisons de tactiques et de ressources des pirates. Ce modèle a été appliqué à certaines des menaces les plus courantes en 2015 (kits d'exploitation, ransomware et piratages DNS, entre autres) afin d'illustrer comment les cyber criminels compromettent la sécurité des internautes.

Ce rapport contient également des éléments clés concernant le penchant actuel des pirates pour les vers, les exploits et les macro-malware, mais aussi le recours croissant aux crypto-ransomware par les racketteurs en ligne ainsi que l'utilisation et l'efficacité grandissantes des kits d'exploitation visant les vulnérabilités Flash. De plus, il souligne l'importance des divers incidents de cyber sécurité survenus en 2015, notamment la découverte du bug XcodeGhost dans l'App Store d'Apple et le démasquage des Dukes, un groupe de menaces avancées persistantes. Sans oublier certains signes laissant penser que la rencontre entre géopolitique et cyber sécurité ouvre la voie à une course au cyber armement.

Les informations fournies sur les menaces observées à l'échelle mondiale sont étayées par des statistiques détaillées par pays et zones géographiques pour les plus courantes d'entre elles. Il en ressort clairement que, si le monde entier est connecté via Internet, les pirates sont à même de développer et distribuer des ressources leur permettant de cibler plus efficacement leurs victimes parmi les particuliers et les entreprises.

SYNTHÈSE

Auteurs Edilberto Cajucom Laboratoire • Patricia Dacuno Threat Intelligence, Laboratoire • Karmina Aquino • Threat Intelligence, Laboratoire • Broderick Aquilino Malware Protection, Laboratoire • Alia Hilyati Antimalware Unit • Sarah Jamaludin Antimalware Unit • Adam Pilkey Global Communications & Brand • Melissa Michael Global Communications & Brand

Contributeurs Mikko Hypponen Laboratoire • Sean Sullivan Security Advisor • Andy Patel Technology Outreach • Zimry Ong Malware Protection, Laboratoire • Artturi Lehtiö Threat Intelligence, Laboratoire • Janne Kauhanen Cyber Security Services • Dariusz Jastrzebski Cyber Security Services

0504

Avant, les conflits survenaient pour une question de frontières. Il y a bien longtemps, nous érigions des remparts autour de nos villes pour nous défendre. Ils nous protégeaient de nos ennemis. Au fil du temps, ces remparts sont devenus plus hauts, plus longs, plus larges. Or, plus ils s'allongeaient et s'élargissaient, plus ils se faisaient invisibles autour des zones de richesse, de prospérité, de puissance et de croyance qu'ils délimitaient. Finalement, ces remparts sont devenus des frontières qui sont restées l'objet de tous les conflits pendant des siècles. L'époque était alors aux désirs de conquêtes territoriales et de conversion religieuse des populations.Les guerres et autres conflits ont toujours été alimentés par les technologies, comme celles de la poudre, des lames en acier et des avions de chasse. Ce sont immanquablement ces incroyables possibilités technologiques qui se distinguent le plus durant ces périodes sombres. La guerre a toujours été un moteur de développement technologique, et inversement.

C'est ainsi que la guerre froide a produit un effet collatéral : Internet. Cherchant à maintenir une chaîne de commandement en cas de guerre nucléaire, l'armée américaine a conçu Internet dans ce but, comme une infrastructure militaire. En développant Internet, l'humanité a ouvert la voie à une toute nouvelle façon de se faire la guerre. Qui plus est, Internet n'est pas une zone géographique et ne connaît pas de frontières. Cette création a ouvert la boîte de Pandore dans un environnement dépourvu de délimitations tangibles, sans ennemis identifiables.

Par ailleurs, les anciens conflits étaient de nature symétrique, armée contre armée. Aujourd'hui, la technologie guerrière a évolué. Nous ne savons plus qui sont nos ennemis ou ne sommes plus en mesure de les décrire ni d'identifier leurs objectifs et leurs motivations. Nous nous lançons dans une bataille, armés de technologies que nous ne maîtrisons pas complètement, contre des ennemis tapis dans l'ombre… et l'issue reste insondable. Contre qui nous battons-nous ? Des pirates ? Le collectif Anonymous ? La mafia russe ? La Corée du Nord ?

Les conflits sur Internet sont complexes. La seule chose dont nous pouvons être sûrs, c'est que nous assistons au début d'une nouvelle course à l'armement : une course au cyber armement.

MIKKO HYPPÖNENChief Research Officer@mikko

AVANT-PROPOS

« NOUS NOUS LANÇONS DANS

UNE BATAILLE, ARMÉS DE

TECHNOLOGIES QUE NOUS NE

MAÎTRISONS PAS COMPLÈTEMENT,

CONTRE DES ENNEMIS TAPIS

DANS L'OMBRE »

TABLE DES MATIÈRES

02RÉTROSPECTIVE

01GÉNÉRALITÉS

02 Résumé03 Synthèse04 Avant-propos05 Table des matières06 À noter35 Conclusion36 Sources40 Annexe

40 Rapports nationaux

47 Descriptions des menaces

08 2015 en bref10 Résumé des menaces

10 Malware par type

11 Pays qui en signalent le plus

12 Principales menaces12 Principales familles de malware

12 Tendances des principales familles

13 Principaux génériques et familles

héritées

13 Tendances des principaux

génériques et familles héritées

14 Malware Mac

14 Malware Android

15 Menaces par zone géographique

03ÉTUDES DE CAS

18 Effraction dans le jardin clos20 Présentation des Dukes

04CHAÎNE DE CONTAMINATION

23 Un modèle axé sur les utilisateurs24 Étape par étape25 Principales menaces par étape26 Njw0rm27 CosmicDuke28 Étapes

28 Inception

29 Intrusion

31 Infection

33 Invasion : Infiltration

34 Invasion : Infestation

06

Flash : Le dernier des maillons faiblesLes exploits malveillants sont monnaie courante depuis plus de 10 ans. Tant et si bien qu'en 2006 les analystes de l'Institut InfoSec ont commencé à appeler plaisamment « Exploit Wednesday » le lendemain du « Patch Tuesday » de Microsoft. Tout reposait sur la réactivité. Le mardi, Microsoft livrait ses mises à jour, que les pirates disséquaient rapidement dans la foulée pour en identifier les vulnérabilités sous-jacentes. Armés de ces informations, ils créaient alors un exploit à intégrer à leurs malware visant les internautes qui n'avaient pas encore mis leur système à jour.

Fin 2006, les malware se sont encore plus démocratisés avec l'arrivée des kits malveillants. Les premiers de ces kits, comme MPack, furent victimes de leur succès : pas assez évolutifs, ils furent en effet incapables de satisfaire une demande en constante augmentation. Toutefois, les services malveillants ont bien vite pris la relève et les marchés noirs du web proposent maintenant de nombreux kits d'exploitation.

Aujourd'hui, fini l'« Exploit Wednesday ». Le logiciel Microsoft [1] est nettement plus sûr qu'il y a 10 ans et s'accompagne d'un déploiement accéléré des correctifs. C'est désormais Adobe que les kits d'exploitation prennent pour cible. Le programme Reader en a particulièrement fait les frais un certain temps (Flash aussi), avant de devenir quasi superflu avec l'avènement de la prise en charge des PDF en natif dans plusieurs navigateurs. Adobe a alors adopté des cycles de mise à jour stricts qui ont mis Reader à l'abri un moment. Le plug-in pour navigateur Java, maillon faible de la chaîne, est ensuite devenu la cible privilégiée des attaques. Les développeurs l'ont alors plus ou moins restreint à de très rares utilisations.

Donc, à présent… le lecteur Flash d'Adobe est le dernier plug-in offrant la meilleure prise aux kits d'exploitation. Mais pour combien de temps ?

Le 29 avril 2010, Steve Jobs a publié une lettre ouverte intitulée Thoughts on Flash (Pensées sur Flash) expliquant pourquoi Apple ne voulait pas de Flash sur ses périphériques iOS. Selon de nombreux analystes technologiques, cet événement a signé le début de la fin pour Flash Player, au moins sur les appareils mobiles. C'est désormais avéré. Le 28 juin 2012, Adobe a annoncé que la certification Flash Player ne serait pas disponible sur l'Android 4.1 et qu'il limiterait ses installations via Google Play à partir du15 août 2012 [2].

Depuis, le lecteur Flash tient bon sur le marché des ordinateurs de bureau, mais il est critiqué de toute part. Ainsi, en août 2015, Amazon a annoncé qu'il n'accepterait plus les publicités en Flash à compter du 1er septembre 2015. Google a suivi le mouvement en février 2016. Dans cette optique, AdWords et DoubleClick, ses réseaux publicitaires, n'afficheront plus de publicités en Flash à partir du 30 juin 2016. Elles y seront complètement désactivées à partir du 2 janvier 2017.

À ce stade, j'avancerais une prévision pour début 2017 : dès qu'il pourra se passer de prendre en charge les publicités en Flash, le navigateur Google Chrome commencera à forcer les internautes à autoriser tous les sites nécessitant la technologie Flash et sera suivi de près par Mozilla Firefox et Microsoft Edge. Ainsi, d'ici le printemps 2017... Flash ne sera plus d'aucune utilité aux kits d'exploitation.

Les kits d'exploitation ont un avenir chaotique devant eux, sans nouvelle cible prometteuse à l'horizon. Les services malveillants, toujours plus répandus, intensifieront leurs envois de pièces jointes, comme le macro-malware qui fait fureur actuellement.

Si seulement nous perdions le réflexe de cliquer sur « OK » pour nous débarrasser des boîtes de dialogue… SEAN SULLIVANSecurity Advisor@5ean5ullivan

À NOTER

1 À l'exception de Silverlight, actuellement cible de kits d'exploitation. Heureusement, Silverlight devrait bientôt disparaître puisque Netflix s'en détourne.

2 Ironie du sort, bon nombre de malware s'insinuent dans les appareils Android par le biais de publicités trompeuses pour une mise à jour Flash obligatoire. Même en l'absence de lecteur Flash, l'habitude mène parfois à l'ingénierie sociale. Les chercheurs de Google ont commencé à configurer le navigateur Chrome de façon à signaler les sites affichant ce type de publicité.

07

02

RÉT

RO

SPEC

TIV

E

08 2015 en bref10 Résumé des menaces

11 Pays qui en signalent le plus

11 Malware par type

12 Principales menaces12 Principales familles de malware

12 Tendances des principales familles

13 Principaux génériques et familles héritées

13 Tendances des principaux génériques et familles héritées

14 Malware Mac

14 Malware Android

15 Menaces par zone géographique

07

2015 EN BREF

MALWARE

Août

Google lance les mises à jour de sécurité Nexus

mensuellesSÉCURITÉ DES PRODUITS

VULNÉRABILITÉS

Août

Google corrige la faille de sécurité

Android Stagefright

SÉCURITÉ NUMÉRIQUE

Octobre

UE/USA : Invalidation de

l'accord Safe Harbor

Août

USA : Sanctions prévues contre la Chine pour

cyber vol

Septembre

Chine/USA : Entretien cyber sécurité avant la

visite officielle

Juillet

Chine : Mise à jour des lois relatives au contrôle d'Internet

Juillet

Fermeture du forum de piratage Darkode par le FBI

Février

Démantèlement du botnet Ramnit

par Europol

ATTAQUES

Juillet

Signalement de la faille Android

Stagefright

Octobre

Signalement de la faille Android Stagefright 2.0

Août

Signalement de la faille Certifi-gate

sur Android

Mars

Détection de la faille FREAK sur Android et

Windows

Septembre

Signalement d'un exploit déjouant Gatekeeper sur

Mac OS X

Juillet

Développement des outils de

cyber criminalité des Dukes

Mars

Montée des ransomware

Juillet

Piratage de Hacking Team, divulgation de

données en ligne

INT

ERN

AT

ION

AL

PAR

TIC

ULI

ERS

Novembre

USA : Fin des écoutes téléphoniques massives

de la NSA

Octobre

USA - CISA : Adoption par le Sénat malgré des

inquiétudes

Décembre

Chine : Inquiétudes au sujet de la loi antiterrorisme

Octobre

USA - DMCA : Davantage de produits

de « piratage légal »

POURSUITES

Octobre

USA : 4,5 ans de prison pour le créateur du

botnet Citadel

Octobre

R-U/USA : Inculpation du

créateur du botnet Dridex

Octobre

UE : Raids policiers liés au malware

DroidJack

Août

Amazon et Chrome abandonnent les

pubs Flash

Octobre

Chine : Arrestation de pirates sur

requête des USA

Octobre

Perturbation de l'activité du kit d'exploitation

Angler

Septembre

Malware Turla « en contact C&C

par satellite »

Octobre

Correction de plusieurs failles par les mises à

jour Apple

Décembre

Signalement d'attaques DDoS sur

des serveurs turcs

Octobre

Retrait de bloqueurs de pub dépassant les limites de l'App Store

Septembre

Identification de nouveaux outils

des Dukes

Août

Démonstration de piratage

d'une Corvette par des

chercheurs

Juillet

Rappels Ford, Range Rover, Prius

et Chrysler pour cause de bug

Août

Sortie du correctif

antipiratage OTA pour la

Tesla Model S

Septembre

Envoi postal Chrysler de

clés USB avec correctif logiciel

L'année 2015 s'est révélée mouvementée en matière de sécurité et de confidentialité en ligne. Voici quelques-uns des événements majeurs survenus qui influeront sur les interactions des internautes et leur rapport à la technologie. Nos sources sont répertoriées à la page 36.[ ]

Septembre

Début du nettoyage de

l'App Store pour éradiquer

XcodeGhost

Septembre

Attaque DDoS « lancée depuis des pubs sur mobile »

VIE

EN

LIG

NE

0908

1110

RÉSUMÉ DES MENACESSi la typologie des menaces observées en 2015 reprenait plusieurs tendances relevées en 2014, elle affichait également des divergences significatives. La surprise est notamment venue du retour des macro-malware qui avaient disparu depuis le début des années 2000. Par ailleurs, la proportion des vers dans le nombre total de détections de malware a augmenté, ce qui est en grande partie dû à l'émergence de diverses familles dans certaines régions du monde.

Toutefois, les exploits et kits d'exploitation restent parmi les menaces les plus répandues auxquelles particuliers et entreprises sont confrontés en Europe comme en Amérique du Nord. Non seulement ils sont fréquemment détectés, mais certains indicateurs ont démontré en 2015 que leurs capacités ne cessent de s'étoffer et de s'étendre à de nouveaux vecteurs d'attaque. Le nombre de ransomware « Gendarmerie » a diminué en 2015, contrebalancé par l'activité croissante de plusieurs familles de crypto-ransomware (voir page 31) opérant par le biais de kits d'exploitation et de macro-malware.

Par ailleurs, les autorités gouvernementales et les grandes entreprises s'intéressent de près aux menaces avancées persistantes (APT – Advanced Persistent Threats), bien qu'elles n'affectent pas la plupart des internautes. En 2015, le Laboratoire F-Secure a publié un livre blanc présentant en détail les outils utilisés par les Dukes. Nous pensons que ce groupe de cyber espionnage hautement spécialisé, extrêmement bien organisé et doté de nombreuses ressources travaille pour la Fédération de Russie depuis au moins 2008 dans le but de recueillir des renseignements permettant d'influer sur les décisions prises en matière de politiques de sécurité et d'affaires étrangères.

VersÉternel leader du classement des détections de menaces, le vieillissant Downadup (alias Conficker) a conforté à lui seul les vers dans une position prédominante. En parallèle, leur visibilité s'est trouvée globalement accrue grâce à l'émergence de plusieurs familles parvenues à se propager dans les réseaux de certaines régions du monde.

La plus remarquable de ces nouvelles familles est Njw0rm, un ver VBS qui s'infiltre via des lecteurs amovibles, des pièces jointes malveillantes à des e-mails et des téléchargements à la dérobée. Essentiellement conçu pour voler des informations, il a la capacité d'ouvrir des backdoors. Njw0rm a vu ses détections nettement augmenter au second semestre 2015 par rapport au premier, mais son action a été largement suffisante pour en faire la nouvelle famille de malware la plus importante de l'année.

Le ver Dorkbot a, lui aussi, fait des dégâts. Il affiche de nombreuses caractéristiques en commun avec Njw0rm. Tous deux s'insinuent par le biais de lecteurs amovibles. Tous deux ouvrent des backdoors, volent des informations et peuvent communiquer avec des serveurs distants afin de recevoir des instructions complémentaires de la part des cyber criminels. Toutefois, Dorkbot est aussi capable de se propager en intégrant des liens malveillants à des messages instantanés ou sur les réseaux sociaux.

Troisième nouvelle famille remarquée, Ippedo a fait l'objet d'un assez grand nombre de signalements pour entrer dans la liste des principales menaces de 2015. Il s'agit là encore d'un voleur d'informations distribué via des lecteurs amovibles. Cependant, il ne semble pas capable de se propager par d'autres moyens, ce qui réduit considérablement son importance par rapport aux autres familles.

Considérés comme un type de menace au sens large, les vers ont significativement gagné en ampleur l'an dernier. En 2015, les familles de vers représentaient en effet 18 % du total des détections de malware, contre 12 % en 2013 et 10 % en 2014. Toutefois, à l'exception du tristement célèbre ver Downadup (prédominant partout dans le monde), la plupart de ces familles ont seulement été repérées en Asie, au Moyen-Orient et, dans une moindre mesure, en Amérique du Sud. Malgré cette poussée, le cheval de Troie (par exemple, Gamarue ou Kilim) est resté le type de malware le plus souvent rencontré en 2015.

Exploits et kits d'exploitationTrès présents en 2015, les exploits se sont montrés actifs dans plusieurs pays. Le kit d'exploitation Angler s'est particulièrement illustré dans diverses régions du monde, régnant au Royaume-Uni, en Suède et en Australie.

S'il disposait de l'arsenal le plus complet d'exploits déployé l'an dernier, sa réussite (et celle des kits d'exploitation en général) semble en partie due à son utilisation de plus en plus efficace de différents vecteurs d'attaque. La prédominance des signalements de la détection générique Trojan:JS/Redirector en apporte la preuve. Les pirates introduisent ce type de cheval de Troie sur des sites web légitimes afin de rediriger leurs visiteurs vers d'autres sites hébergeant des kits d'exploitation, notamment Angler et Nuclear. Cette attaque a été si répandue l'an dernier qu'elle s'est vu décerner le titre peu glorieux de menace principale en Suisse et au Danemark.

De leur côté, les vulnérabilités Flash ont grandement contribué à la réussite des exploits, et ce même indépendamment des kits d'exploitation. En effet, les exploits identifiés par la détection générique Exploit:SWF/Salama ont compté parmi les menaces les plus présentes, notamment en Europe et aux États-Unis. Bien qu'elles ne jouissent pas de la même ampleur qu'Angler, ces deux types d'attaques ont ciblé le nombre apparemment infini d'internautes qui exécutent des versions vulnérables de Flash.

Dans l'ensemble, la menace représentée par les exploits n'a pas énormément évolué par rapport aux années précédentes.

MALWARE PAR TYPE2015

2014

2013

VER

CH

EVA

L D

E TR

OIE

EXPL

OIT

VIR

US

BAC

KDO

OR

AU

TRES

67 18 8 6 1 1

VER

CH

EVA

L D

E TR

OIE

EXPL

OIT

VIR

US

BAC

KDO

OR

AU

TRES

73 10 8 6 1 1

VER

CH

EVA

L D

E TR

OIE

EXPL

OIT

VIR

US

AU

TRES

BAC

KDO

OR

63 12 11 9 4 1POURCENTAGES DES DÉTECTIONS DE

MALWARE SIGNALÉES

Ils s'en prennent toujours aux particuliers et entreprises qui utilisent des logiciels dépassés ou non corrigés (par exemple, les exploits WormLink leur demandent d'ouvrir un fichier contenant un code qui exploite une vulnérabilité). Comme en 2014, ils ont constitué 8 % du total des détections de malware. Toutefois, leur contenu malveillant (entre autres, des ransomware) s'est diversifié et aggravé : il est donc plus que jamais nécessaire de mettre à jour ses logiciels dès la publication de nouveaux correctifs de sécurité.

Macro-malwareL'année 2015 nous a offert une évolution intéressante avec le retour des macro-malware. Ces documents contenant du code malveillant dissimulé ont marqué la fin des années 1990 et le début des années 2000. Mais lors du lancement de la suite Office 2003, Microsoft a modifié les paramètres de sécurité par défaut pour empêcher l'activation automatique des macros à l'ouverture d'un document, compliquant considérablement la tâche des pirates.

Pourtant, à partir de juin 2015, les macro-malware ont retrouvé une place de choix dans les rapports de télémétrie. Loin de figurer parmi les menaces prédominantes, ils ont néanmoins fait leur petit effet dans plusieurs pays d'Europe. Ils se propagent principalement grâce aux pièces jointes des e-mails et utilisent des techniques d'ingénierie sociale pour pousser les internautes à ouvrir les documents et à activer les macros, ce qui entraîne l'exécution du code malveillant.

Les macro-malware et les exploits se ressemblent de par leur intention commune, à savoir attaquer en vue d'injecter du contenu malveillant. En 2015, il s'agissait notamment de graves menaces telles que le cheval de Troie bancaire Dridex et de crypto-ransomware tels que CryptoWall.

Malware AndroidEn 2015, l'écosystème Android a vu Slocker s'élever au rang des menaces prépondérantes. Même si les principaux chevaux de Troie envoyeurs de SMS sont restés très présents, notamment en France, la popularité croissante de Slocker marque un tournant dans le domaine des malware mobiles, qui ciblent maintenant davantage le contenu stocké sur les périphériques. L'action des backdoors (dont CoudW) indique également une évolution accrue des types de contamination visant les systèmes d'exploitation par rapport aux années précédentes.

Mac et iOSLes backdoors représentaient le type de malware le plus souvent détecté sur les systèmes d'exploitation Apple en 2014, ce qui offrait un contraste intéressant à la domination sans partage des chevaux de Troie sur Windows et Android.

En 2015, l'écosystème Apple a subi sa plus terrible attaque à ce jour. En effet, durant l'« incident XcodeGhost », des pirates sont parvenus à s'introduire dans le très sécurisé App Store en infectant des copies de Xcode, l'outil de développement d'applications d'Apple, disponibles sur des forums de téléchargement public chinois. Ce faisant, ils ont réussi à insérer du code malveillant dans des applications qui étaient ensuite proposées sur l'App Store.

Ces pirates ont tiré parti de la situation toute particulière de la Chine, où les développeurs qui ont du mal à accéder aux serveurs de téléchargements d'Apple situés à l'extérieur du pays se tournent vers des sources locales pour obtenir une copie de l'outil souhaité. C'est ce qui a permis que leurs applications, ainsi infectées, arrivent sur l'App Store.

PAYS QUI EN SIGNALENT LE PLUS

L'illustration ci-dessus représente le volume des signalements de détections que nous avons reçus pour chaque pays par rapport à sa population d'internautes (ceux qui utilisent nos produits de sécurité).

Par exemple, malgré son grand nombre d'internautes, peu de signalements nous sont parvenus de la Finlande comparativement à Oman, qui conjugue vaste population d'internautes et taux de détection élevés.

Démasquage des DukesLes APT sont des programmes perfectionnés, en général conçus spécifiquement dans le but de s'insinuer et rôder en toute discrétion dans les réseaux et les systèmes d'exploitation. Ces menaces silencieuses visent les entreprises qui traitent des affaires ou des informations de production confidentielles. En 2015, le Laboratoire F-Secure a publié un livre blanc exposant le groupe de cyber espionnage à l'origine de cette menace : les Dukes, créateurs d'une série d'outils utilisés depuis 2008 et développés en continu au cours de ces sept dernières années.

Leurs outils (CozyDuke, MiniDuke, HammerDuke et SeaDuke, entre autres) intègrent tous des fonctions variées telles que le vol de mots de passe, l'ouverture d'une backdoor et le lancement d'attaques par déni de service distribué (DDoS – Distributed Denial of Service).

Bien qu'il soit peu probable que le commun des internautes le rencontre un jour, cet arsenal très ciblé concerne plus précisément et plus directement ceux qui sont liés à des sociétés ou des organes gouvernementaux présentant un intérêt pour les Dukes.

OmanPhilippinesM

alaisie

ArgentineColombie

Mexique

ÉgypteÉquateur

IranEAU

Turquie

Tunisie

Roumanie

MarocBulgarie

Taïwan

GrèceUkraine

RussieH

ongrieCorée du Sud

Serbie

Sri LankaInde

ChiliChine

Pays-Bas

France

États-Unis

Royaume-UniPortugal

Hong Kong

PologneItalie

Australie

Afrique du Sud

CanadaEspagne

République Tchèque

Slovénie

Suisse

CroatieA

llemagne

SingapourEstonie

Japon

FinlandeDanemark

Irlande

Autriche

Belgique

ThaïlandeBrésil

Norvège

Suède

Les vers ont significativement gagné en ampleur en 2015 par rapport aux deux années précédentes.

1312

PRINCIPALES FAMILLES DE MALWAREEn général, deux programmes malveillants qui partagent un code ou un comportement spécifique sont considérés comme membres d'une même famille. Les logiciels de sécurité repèrent souvent les différentes menaces d'une famille au moyen d'une détection qui identifie leurs caractéristiques communes.

Les principales menaces observées en 2015 qui appartenaient à des familles distinctes de malware sont répertoriées à droite. La taille des bulles est proportionnelle à leur pourcentage du total des détections de malware par nos produits de sécurité sur l'ensemble de l'année.

TENDANCES DES PRINCIPALES FAMILLES

JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC0,0

0,4

0,2

0,6

POU

RCEN

TAG

E D

U T

OTA

L D

ES D

ÉTEC

TIO

NS

DE

MA

LWA

RE S

IGN

ALÉ

ES E

N 2

015

MOIS (2015)

Njw0rm ver

Gamarue cheval de Troie

Angler kit d'exploitation

Dorkbot ver

Ippedo ver

WormLink exploit

Les principales familles présentées ont connu des pics d'activité manifestes tout au long de l'année 2015. Les détections de nouvelles familles de vers ont enregistré une hausse significative au second semestre. Les variations de leur prédominance respective sont attribuables à plusieurs causes, par exemple la distribution plus active des malware par le biais de campagnes de hameçonnage ou un changement dans la logique de détection d'une famille spécifique.

PRINCIPALES MENACES Njw0rm

ver

Gamarue cheval de

Troie

Angler kit d'ex-

ploitation

Worm-Link

exploit

Dorkbot ver

Kilim cheval de

Troie

Nuclear kit d'ex-

ploitation

Dridex

cheval de Troie-télé-

chargeur

Ippedo ver

Trojan.LNK.Gen

Sality bot

Downadup ver

(Conficker)

Trojan: W32/

Autorun

Exploit: Java/

Majava

Ramnit bot

Trojan: JS/

Redirector

Worm: W32/

Kataja

PRINCIPAUX GÉNÉRIQUES ET FAMILLES HÉRITÉESCertains malware persistent durant des années. Ils forment des « familles héritées » dont la longévité s'explique de multiples manières, notamment par l'infection de nouveaux internautes ou l'altération d'un malware existant afin de réattaquer les mêmes cibles.

Certains malware échappent aux détections de famille, mais pas aux détections génériques qui recherchent des caractéristiques globalement similaires.

Les principales menaces observées en 2015 sont répertoriées à droite. Elles comprennent aussi bien les familles héritées que les détections génériques (identifiées par leur nom complet). La taille des bulles est proportionnelle à leur pourcentage du total des détections de malware par nos produits de sécurité sur l'ensemble de l'année.

TENDANCES DES PRINCIPAUX GÉNÉRIQUES ET FAMILLES HÉRITÉES

Trojan: W97M/

Malicious Macro Exploit:

SWF/ Salama

JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC0,0

0,2

0,4

0,6

0,8

1,0

1,2

MOIS (2015)

Trojan.LNK.Gen (cheval de Troie « raccourcis »)

Downadup ver (Conficker)

Worm:W32/Kataja

Sality bot

Ramnit bot

Trojan:W32/Autorun

Exploit:Java/Majava Trojan:W97M/MaliciousMacro

Exploit:SWF/Salama

POU

RCEN

TAG

E D

U T

OTA

L D

ES D

ÉTEC

TIO

NS

DE

MA

LWA

RE S

IGN

ALÉ

ES E

N 2

015

Trojan:JS/Redirector

Sur ce graphique, les zones colorées représentent les détections génériques, tandis que les lignes représentent les familles de malware. Alors que Trojan.LNK.Gen a sensiblement reculé à l'automne, la progression des chevaux de Troie en juin marque le grand retour des macro-malware.

1514

JAN

V

FÉV

MA

RS

AV

R

MA

I

JUIN

JUIL

AO

U

SEP

OC

T

NO

V

DÉC

7 3 9 9 5 2 39 14 9 3 9 6

TOTAL DES ÉCHANTILLONS (DEPUIS JANVIER)

NOMBRE D'ÉCHANTILLONS REÇUS PAR MOIS

7 1019

2833 35

74

8897 100

109115

13+87+x CHEVAL DE TROIE13 % (15 ÉCHANTILLONS)

73 % du total des échantillons de chevaux de Troie appartiennent à la famille Flashback, un groupe de malware qui téléchargent des fichiers malveillants en se connectant à un site distant.

58+42+x BACKDOOR58 % (67 ÉCHANTILLONS)

La disponibilité du code source pourrait en partie contribuer à la proportion considérable des backdoors parmi les menaces visant Mac OS X.

2+98+x EXPLOIT1 % (1 ÉCHANTILLON)

Exploit:OSX/CVE-2009-1237 tire parti d'une vulnérabilité ancienne, possible cause de déni de service.

28+72+x AUTRES28 % (32 ÉCHANTILLONS)

Les autres menaces repérées comprennent les applications potentiellement indésirables (API).

115Nombre de malware Mac reçus

de

ÉCHANTILLONS DISTINCTS

JANVIER à DÉCEMBRE 2015

MALWARE MAC

MALWARE ANDROID

SMSSENDCHEVAL DE TROIE Envoie des SMS à des numéros surfacturés à l'internaute.

1SLOCKERCHEVAL DE TROIE Chiffre des fichiers image, texte et vidéo, puis exige une rançon pour déverrouiller les périphériques et déchiffrer les fichiers.

2 FAKEINSTCHEVAL DE TROIE Ressemble à un programme d'installation d'une application populaire, mais envoie en fait des SMS à des numéros ou services surfacturés.

3

25+75+N

Le TOP 10 DES MALWARE ANDROID représente 25 % du total des malware Android détectés en 2015.

25 %

GINMASTERCHEVAL DE TROIE Vole des informations confidentielles sur les périphériques touchés et les communique à un site web distant.

4GINGERBREAKEXPLOIT Exploite une vulnérabilité des systèmes Android antérieurs à la version 2.34 en vue d'accéder aux privilèges racine des périphériques touchés.

5SMSPAYCHEVAL DE TROIE Envoie des SMS à des numéros surfacturés à l'internaute.

6DROIDROOTEREXPLOIT Accède aux privilèges racine. Sert aussi d'outil de piratage si délibérément exécuté, en vue d'une prise de contrôle racine.

7

DIALERCHEVAL DE TROIE Affiche constamment une page plein écran à caractère pornographique qui exhorte l'internaute à composer un numéro de téléphone.

8 SMSKEYCHEVAL DE TROIE Envoie des SMS à des numéros surfacturés à l'internaute.

9 COUDWCHEVAL DE TROIE Ouvre une backdoor qui permet aux pirates de prendre le contrôle des périphériques touchés.

10

TOP

10 D

ES M

ALW

ARE

AN

DRO

ID

15 %2,5 %

2,3 %

1,7 %1,2 %

0,5 %0,5 %

0,4 %0,3 % 0,2 %

EUROPE

FinlandeSignalement d'un nombre élevé de détections de Trojan:JS/Redirector, ainsi que des menaces Downadup et Angler.

FranceSeul pays signalant un nombre significatif de chevaux de Troie SmsSend sur Android. Détections fréquentes de Downadup et Trojan:JS/Redirector.

Royaume-UniNombreux signalements du kit d'exploitation Angler, de Trojan:W97M/MaliciousMacro et de Trojan:JS/Redirector.

ItalieSeul pays signalant une présence significative du malware de vol bancaire Expiro. Détections fréquentes de Downadup et Trojan:W32/Autorun.

DanemarkSignalement de Trojan:JS/Redirector, d'Exploit:W32/OfficeExploitPayload et d'Angler comme menaces les plus fréquentes.

SuèdeSignalement des kits d'exploitation Angler et Nuclear, ainsi que de Trojan:JS/Redirector comme menaces les plus fréquentes.

AllemagneSignalement d'un nombre élevé de détections de Downadup, d'Exploit:W32/OfficeExploitPayload et de Trojan:JS/Redirector.

AutricheSeul pays signalant une présence significative du cheval de Troie bancaire Banker. Détections fréquentes des chevaux de Troie FakePDF Trojan:JS/Redirector.

SuisseSignalement de Trojan:JS/Redirector et du kit d'exploitation Angler essentiellement, avec Exploit:SWF/Salama comme troisième menace la plus fréquente.

MENACES PAR ZONE GÉOGRAPHIQUE

Bien que les dix principales menaces se soient peu ou prou retrouvées dans pratiquement tous les pays en 2015, les rapports de télémétrie des internautes qui utilisent nos produits dans chaque région du monde présentaient des profils de menaces distincts. L'Europe a été particulièrement touchée par le kit d'exploitation Angler. De plus, elle a fréquemment été la cible du cheval de Troie Trojan:JS/Redirector ainsi que d'attaques par fichiers contenant des macros qui téléchargent des ransomware. Certains pays d'Europe ont signalé des taux élevés de menaces particulières.

PologneSignalement de Trojan:W32/Autorun et du kit d'exploitation Angler comme menaces les plus fréquentes. Seul pays avec présence significative du virus Virtob.

16

AfriqueLes signalements les plus courants concernent les fichiers de raccourcis malveillants, suivis par ceux du ver Ippedo et du bot Sality.

Moyen-OrientLe ver Downadup reste la menace la plus fréquemment signalée, suivie par les fichiers de raccourcis malveillants et le ver Njw0rm.

Amérique du SudLes fichiers de raccourcis malveillants constituent les malware les plus courants, talonnés par les vers Downadup et Njw0rm.

AsieLes internautes ont le plus souvent été victimes de fichiers de raccourcis malveillants ainsi que des vers Downadup et Njw0rm. Les menaces liées aux botnets (Sality et Ramnit) ont aussi fait l'objet de signalements fréquents.

RESTE DU MONDE

OcéanieLes fichiers de raccourcis malveillants et Angler ont fait l'objet du plus grand nombre de signalements. Les exploits WormLink se sont également distingués.

États-UnisLes internautes ont signalé la prédominance du kit d'exploitation Angler et d'Exploit:SWF/Salama, suivis par Trojan:JS/Redirector.

JaponOutre la constante présence de Downadup, les internautes ont le plus souvent signalé des détections d'Angler et de Trojan:W32/Autorun.

BrésilOutre la constante présence de Downadup, les internautes ont signalé la prépondérance de Trojan:JS/Redirector et du kit d'exploitation Angler.

Des rapports de télémétrie concernant d'autres régions que l'Europe ont fait état d'une plus grande variété de malware, certains pays apparaissant plus touchés que la moyenne par un type particulier dans leur zone géographique.

IndeLe ver Downadup a été la menace la plus souvent signalée, suivie par le bot Sality et le ver Njw0rm.

OmanLes internautes ont signalé la présence significative des vers Njw0rm et Dorkbot, ainsi que de Worm:W32/Kataja.

AustralieLe kit d'exploitation Angler, les exploits WormLink et Trojan:W97M/MaliciousMacro ont été les menaces les plus signalées.

Amérique du NordLa menace prédominante est le kit d'exploitation Angler, suivi par les exploits Salama qui ciblent les vulnérabilités Flash Player. 03

ÉTU

DES

DE

CA

S

18 Effraction dans le jardin clos20 Présentation des Dukes

17

1918

À l'heure actuelle, la plupart des attaques visent les internautes. Les pirates aiment notamment les piéger de façon à leur faire télécharger et installer eux-mêmes des malware à leur insu (cette tactique est connue sous le nom d'« ingénierie sociale »). Ils affectionnent également une autre méthode, pourtant techniquement complexe, qui consiste à exploiter des failles ou des lacunes permettant d'infecter discrètement les périphériques des internautes. Ces points faibles se trouvent en général au sein d'une application ou d'un appareil. Ils sont plus rarement le fait d'un programme, d'un processus ou d'un système sans rapport direct avec l'internaute touché.

Cependant, certains pirates préfèrent les chemins détournés. Ainsi, fin 2015, l'App Store d'Apple a enregistré une série d'incidents mettant en évidence les ramifications possibles des attaques qui obéissent à une autre tactique : le ciblage des développeurs. Ces incidents résultaient de l'utilisation d'outils infectés par des développeurs, qui avaient ainsi créé à leur insu des applications au comportement malveillant. Celles-ci ont réussi à passer outre les procédures de contrôle de code d'Apple pour s'immiscer dans la plateforme et, de là, dans les périphériques iOS standard des internautes.

RETRAIT DES APPLICATIONS XCODEGHOST DE L'APP STOREApple soumet tous les programmes qui lui sont proposés à un mécanisme de contrôle rigoureux avant de les ajouter à son référentiel de logiciels, réputé merveilleusement exempt de comportement malveillant. Le tout premier malware détecté sur l'App Store en 2012 [1] était l'application Find & Call, qui utilisait les coordonnées stockées sur l'appareil touché pour envoyer du courrier indésirable. Au cours des trois années suivantes, seuls deux ou trois incidents relativement mineurs se sont produits et les applications non conformes aux règles strictes d'Apple se sont vues exclues de sa boutique.

En septembre 2015, cette situation idyllique a brusquement tourné au cauchemar lorsqu'Apple a annoncé avoir retiré de l'App Store plusieurs applications contaminées par un programme malveillant du nom de XcodeGhost. Selon les journalistes, plus de 30 applications étaient touchées mais certains ont ultérieurement porté ce bilan à plus de 300 [2,3].

Le point le plus remarquable de cet incident était qu'au moins une partie des applications concernées provenaient d'entreprises fiables et renommées dans le secteur du développement de logiciels. La plus connue était sans doute l'éditeur de WeChat, un programme de messagerie très répandu. D'autres applications (Railway 12306, Camcard et NetEase Cloud Music, entre autres) comptaient des millions, voire des dizaines de millions d'adeptes. Si la majorité d'entre eux se trouvaient en Chine continentale, bon nombre des applications touchées étaient également utilisées dans d'autres régions du monde, dont les États-Unis et l'Europe.

EFFRACTION DANS LE JARDIN CLOS

Les chercheurs des entreprises Weibo, Alibaba et Palo Alto Networks, notamment, ont identifié la source du problème, à savoir une version contaminée de l'outil de développement Xcode d'Apple. Disponible gratuitement sur les serveurs de la société, Xcode sert à compiler des applications destinées aux plateformes iOS et Mac OS X. Toutefois, comme c'est le cas pour de nombreux autres programmes commerciaux ou d'entreprise, des services de partage de fichiers en proposent des copies téléchargeables aux développeurs qui, pour une raison quelconque, n'ont pas accès à la plateforme officielle.

Selon les journalistes, la connexion Internet au reste du monde étant ce qu'elle est en Chine continentale, l'accès aux serveurs situés à l'extérieur du pays se trouve nettement ralenti, surtout pour y télécharger des fichiers volumineux (environ 3,5 Go pour la dernière version de Xcode). Cette difficulté a incité de nombreux développeurs à se servir de copies de l'outil hébergées sur des serveurs situés en Chine. Malheureusement, des lignes de code avaient été ajoutées à certaines d'entre elles. Lorsque les développeurs compilaient leurs applications respectives à l'aide du programme Xcode contaminé, ce code supplémentaire s'y introduisait discrètement à leur insu.

Le code supplémentaire visait à communiquer des informations stockées sur les périphériques touchés à un serveur distant. Cependant, les chercheurs ont vite remarqué qu'il n'existait aucune trace de dommage ni de vol de données effectif. Il a néanmoins été recommandé aux internautes ayant téléchargé des applications infectées de les supprimer de leurs appareils ainsi que de changer leurs données de connexion aux comptes de messagerie ou de réseaux sociaux associés à ces applications en attendant que les développeurs en fournissent une version propre.

AUTRE VICTIME : LA PLATEFORME UNITYPeu après l'annonce de l'incident XcodeGhost, les chercheurs en sécurité chez PwC ont déclaré que des copies clonées de la plateforme Unity en cours de distribution avaient subi une modification similaire, ce qui a valu à ces clones le nom d'UnityGhost [4]. Unity est un environnement commercial de développement tiers qui permet de créer des applications iOS (ainsi que des programmes destinés à d'autres systèmes comme Android et Windows). Par chance, dans ce cas, aucune application élaborée avec une copie contaminée ne s'est retrouvée sur l'App Store.

RETRAIT DES APPLICATIONS COMPILÉES AVEC YOUMI Un mois plus tard, nouvel incident du même genre : des applications étaient supprimées de l'App Store, car elles recueillaient des informations concernant les internautes et leurs appareils [5]. Dans ce cas, elles avaient été élaborées à l'aide du kit de développement logiciel (SDK – Software Development Kit) tiers Youmi, qui permettait d'y intégrer

des publicités. Là encore, les développeurs ignoraient que leurs créations étaient infectées de façon à passer outre les strictes procédures de sécurité et de confidentialité mises en place par Apple. Bien que la société n'ait pas précisé le nombre d'applications retirées à cette occasion, la presse l'a estimé à « plus de 250 ». Par ailleurs, l'entreprise basée en Chine à l'origine du SDK Youmi a publié des excuses officielles [6] et spécifié qu'elle « collaborait avec Apple pour résoudre ce problème ».

CIBLAGE DES DÉVELOPPEURSCollectivement, ces incidents démontrent clairement que les remparts protégeant l'App Store ne sont pas inviolables et qu'il est possible d'atteindre les propriétaires de périphériques iOS en passant d'abord par les développeurs d'applications. En effet, à chaque fois, l'outil de développement utilisé en toute innocence avait été modifié de façon à introduire discrètement un code malveillant dans le produit fini.

Ce type d'attaque n'était pas tout à fait nouveau : ainsi, en 2010, un virus avait été décelé qui introduisait du code indésirable dans chaque fichier exécutable créé avec le programme Delphi [7, 8]. En revanche, le dernier incident en date a eu sur l'App Store des répercussions publiques sans précédent.

Aujourd'hui, la plupart des détenteurs d'appareils mobiles ne prêtent plus trop attention à l'avertissement standard : « Méfiez-vous des boutiques d'applications tierces ». Manifestement, les développeurs ne sont pas plus à l'abri que les « internautes lambda » des motifs qui poussent le plus couramment à utiliser quand même ces sources, à savoir : l'insuffisance de la bande passante, l'accès restreint aux sites web étrangers et l'alléchante disponibilité garantie par les référentiels tiers. Dans le but de remédier au moins en partie à cette situation, la société Apple a annoncé qu'elle prévoyait de rendre le programme officiel Xcode plus facilement accessible aux développeurs en Chine en le proposant également sur des serveurs installés dans le pays [9].

Malgré cette récente mésaventure, l'App Store reste plus difficile à pirater que l'écosystème Android (où le vecteur d'attaque le plus simple et le plus efficace reste l'ingénierie sociale). Toutefois, il n'est pas inviolable. Les incidents survenus soulignent combien il est essentiel de maintenir un contrôle rigoureux tout au long du processus de développement. En effet, non seulement une contamination d'une telle ampleur met en péril la sécurité des internautes, mais elle ternit la réputation et l'image de fiabilité des développeurs concernés ainsi que de l'App Store même.

DÉVELOPPEURS D'APPLIS

APP STORE

Appli + code malveillant

Appli propre

SOURCE TIERCEAPPLE

PIRATE

CONTAMINATION AU STADE DE DÉVELOPPEMENT

Données collectées

DÉTENTEURS D'APPLICATIONS

>> Sources répertoriées à la page 38.

L'HISTOIREJohn Kasai de KlagenfurtEnregistrement d'un vaste groupe de noms de domaine sous l'alias « John Kasai » de Klagenfurt, en Autriche. Ces domaines sont ensuite utilisés lors de campagnes des Dukes jusqu'en 2014.

Dans l'ombreLes Dukes se font discrets en 2012. Utilisation active mais mises à jour mineures de CosmicDuke et MiniDuke. En revanche, utilisation moindre mais mises à jour majeures de GeminiDuke et CozyDuke.

TchétchénieDeux campagnes PinchDuke repérées en novembre 2008, avec des références à deux sites web turcs comprenant du contenu relatif à la Tchétchénie.

Campagnes contre l'OccidentPinchDuke lance deux grandes campagnes groupées. La première cible un groupe de réflexion spécialisé en politique d'affaires étrangères basé aux États-Unis ainsi que des institutions gouvernementales en Pologne et en République tchèque. La seconde vise à collecter des informations concernant les relations entre la Géorgie et l'OTAN.

CosmicDuke dans le CaucasePinchDuke poursuit ses campagnes contre des pays du Caucase (Turquie, Géorgie, Kazakhstan, Kirghizistan, Azerbaïdjan et Ouzbékistan) tout en passant le relais en douceur à un nouvel outil : CosmicDuke. Enrichissement de

l'arsenal des Dukes MiniDuke et CozyDuke entrent en scène. Le premier s'articule autour d'une backdoor toute simple tandis que le second est plus polyvalent grâce ses divers modules.

PinchDuke et GeminiDuke Deux outils auraient été développés en 2008 : (1) PinchDuke, lancé dans l'année et (2) GeminiDuke, lancé en janvier 2009.

MiniDuke se fait remarquer MiniDuke attire l'attention des chercheurs en sécurité, qui en dissèquent des échantillons et publient leurs conclusions.

Cas particulier : OnionDuke OnionDuke fait ses débuts, avec sa capacité à voler des mots de passe, collecter des données, lancer des attaques DoS et publier du courrier indésirable.

Les Dukes et l'Ukraine En 2013, bon nombre de documents pièges utilisés lors de campagnes des Dukes concernent l'Ukraine. Une fois la crise politique déclarée dans le pays et la position de la Russie connue, l'Ukraine n'intéresse plus les Dukes.

CosmicDuke en lutte contre la drogue En septembre 2013, une campagne CosmicDuke vise des intervenants russes impliqués dans le trafic de substances illicites et réglementées.

MiniDuke renaît de ses cendres Après avoir ralenti ses activités en 2013 pour rester discret, MiniDuke opère un retour en force en 2014. Doté de composants revus et corrigés, il devient plus furtif.

CosmicDuke et son quart d'heure de gloireF-Secure et Kaspersky publient des recherches sur CosmicDuke. Malgré ces révélations, les Dukes préfèrent poursuivre leurs opérations plutôt que de se cacher.

CozyDuke et les vidéos de singesCozyDuke envoie des e-mails de harponnage contenant une vidéo Flash piège d'une publicité du Super Bowl 2007, mettant en scène des singes dans un bureau.

OnionDuke pris la main dans le sac du nœud TorEn octobre 2014, Leviathan Security Group découvre un nœud de sortie Tor malveillant. L'enquête F-Secure révèle qu'il servait à infecter des fichiers exécutables avec OnionDuke. Cette variante n'était pas destinée à lancer des attaques ciblées mais plutôt à former un petit botnet.

Les Dukes se dépassent Janvier 2015 marque le début de la plus importante campagne des Dukes à ce jour, qui repose sur l'envoi massif d'e-mails de harponnage. CozyDuke poursuit ses opérations, relayé ensuite par SeaDuke et HammerDuke. SeaDuke, en langage Python, fonctionne sur Windows et sur Linux. HammerDuke, en langage .NET, fonctionne seulement sur Windows.

CloudDuke Lancement d'une nouvelle grande campagne de hameçonnage en juillet 2015 avec un nouvel outil baptisé CloudDuke. Opération en deux vagues.

CosmicDuke poursuit ses frappes chirurgicales En parallèle des campagnes d'envergure de CozyDuke et CloudDuke, CosmicDuke se concentre sur de discrètes frappes ciblées.

PRÉSENTATION

DUKESDES

Les membres des Dukes forment un groupe de cyber espionnage hautement spécialisé, extrêmement bien

organisé et doté de nombreuses ressources. Nous pensons qu'ils travaillent pour la Fédération de Russie depuis au

moins 2008 dans le but de recueillir des renseignements permettant d'influer sur les décisions prises en matière

de politiques de sécurité et d'affaires étrangères.

2008 2009 2010 2011 2012 2013 2014 2015

PIÈGES

EXPLOITATION DE VULNÉRABILITÉS

Des e-mails de harponnage

contenant des pièces jointes malveillantes ou des liens vers des URL hébergeant des

malware infectent plusieurs victimes.

Une exploitation Zero Day utilise

CVE-2013-0640 pour déployer MiniDuke.

Des exploits disponibles

sont utilisés au sein de vecteurs d'infection et de

malware.

VECTEURSD'INFECTION

Des images, documents et

vidéos Flash sont employés comme fichiers pièges au sein de vecteurs

d'infection.

RÔLE ET PARRAINAGE PAR L'ÉTAT

Les Dukes seraient un

groupe de cyber espionnage soutenu par les autorités

gouvernementales russes.

Cibles : entités intervenant dans

le domaine des politiques de

sécurité et d'affaires étrangères.

Mission : recueillir des renseignements permettant d'influer sur les politiques de sécurité et d'affaires

étrangères.

LESOPÉRATIONS

Les victimes peuvent se trouver de nouveau infectées par un autre outil malveillant

de l'arsenal des Dukes. Exemple : les victimes de

CozyDuke sont aussi touchées par SeaDuke, HammerDuke

ou OnionDuke.

L'une des variantes

d'OnionDuke se propage via un nœud

Tor malveillant qui insère un cheval de Troie

au sein d'applications légitimes.

Novembre 2008- HTTP(S)Chargeurs, voleur d'informations

Début : Alias : Communication : Composants :


Janvier 2009- HTTP(S)Chargeurs, voleur d'informations, composants persistants

Début : Alias :

Communication : Composants :

Janvier 2010Tinybaron, BotgenStudios, NemesisGeminaHTTP(S), FTP, WebDavChargeurs, voleur d'informations, mécanisme d'élévation de privilèges, composants persistants

Début :

Alias : Communication : Composants :

Juillet 2010 (chargeur), mai 2011 (backdoor)- HTTP(S), TwitterTéléchargeur, backdoor, chargeur

Début : Alias :

Communication :

Composants :

Janvier 2010CozyBear, CozyCar, Cozer, EuroAPTHTTP(S), Twitter (sauvegarde)Injecteur, backdoor modulaire, composants persistants, module de collecte d'informations, module de capture d'écran, voleur de mots de passe, voleur de hachage du mot de passe


Février 2013-HTTP(S), Twitter (sauvegarde)Injecteur, chargeur, composants clés modulaires, voleur d'informations, module DDoS, module de collecte d'informations, voleur de mots de passe, expéditeur de courrier indésirable sur les réseaux sociaux


Octobre 2014 SeaDaddy, SeaDask HTTP(S) Backdoor


Janvier 2015HAMMERTOSS, NetdukeHTTP(S), TwitterBackdoor


Juin 2015MiniDionis, CloudLookHTTP(S), Microsoft OneDriveTéléchargeur, chargeur, deux variantes de backdoor

Les Dukes sont connus pour leur vaste arsenal de malware que nous avons identifiés par les noms PinchDuke, GeminiDuke, CosmicDuke, MiniDuke, CozyDuke, OnionDuke, SeaDuke, HammerDuke et CloudDuke.

Ces dernières années, le groupe s'est lancé dans de grandes campagnes semestrielles de harponnage visant des centaines, voire des milliers de destinataires liés à des institutions gouvernementales et entités connexes.

THE DUKES: 7 YEARS OF RUSSIAN CYBERESPIONAGEhttps://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf

La recherche concernant les Dukes est publiée dans son intégralité sur le site web du Laboratoire F-Secure.

LES

OU

TILS

GEMINIDUKE

COSMICDUKE

MINIDUKE

COZYDUKE

ONIONDUKE

SEADUKE

HAMMERDUKE

CLOUDDUKE

PINCHDUKE

23

04C

HA

ÎNE

DE

CO

NTA

MIN

AT

ION

23 Un modèle axé sur les utilisateurs24 Étape par étape25 Principales menaces par étape26 Njw0rm27 CosmicDuke28 Étapes

28 Inception

29 Intrusion

31 Infection

33 Invasion : Infiltration

34 Invasion : Infestation

Faciles à retenir, les phases de la chaîne commencent toutes les quatre par « in » :

z Inception – Phase durant laquelle un système ou un appareil est exposé à une menace potentielle

z Intrusion – Phase durant laquelle le pirate parvient à accéder au système

z Infection – Phase durant laquelle le pirate réussit à installer du contenu malveillant sur le système attaqué

z Invasion – Phase durant laquelle le contenu malveillant continue de fonctionner après l'infection initiale, ce qui aggrave généralement les conséquences de l'attaque

Des exemples sont donnés pour chacune de ces phases au fil des pages suivantes. Il convient cependant de rappeler que la chaîne de contamination est axée sur les utilisateurs. Par conséquent, les ressources correspondant à chaque phase dépendent de la façon dont les internautes sont attaqués. Prenons l'exemple particulièrement parlant de l'ingénierie sociale : les pirates peuvent employer cette tactique pendant l'inception et l'intrusion.

En outre, les victimes doivent bien comprendre que leur contamination à un certain niveau de sécurité ne les met pas subitement en échec total. Cette notion s'avère particulièrement importante pour les administrateurs informatiques responsables de la sécurité de réseaux entiers. Toutes les sociétés, même les plus petites, doivent mettre en place des solutions afin d'éviter les attaques tout au long de la chaîne, et définir un plan pour empêcher les pirates de gagner du terrain et d'atteindre leurs objectifs.


La chaîne de contamination est un modèle axé sur les utilisateurs qui illustre les combinaisons de tactiques et de ressources utilisées pour infecter leurs périphériques et leurs réseaux. Ce genre de modèle est aujourd'hui nécessaire, étant donné l'évolution de la typologie des menaces au cours de la dernière décennie. Fini le temps des pirates amateurs qui créaient des virus informatiques par simple curiosité. Les cyber attaques modernes, dynamiques et perfectionnées, sont le fait de criminels, de saboteurs et de pirates militants, voire d'États-nations, tous animés par des objectifs différents. Pour ne pas être en reste, les chercheurs en sécurité, les administrateurs informatiques et le grand public en général doivent mieux comprendre ce à quoi ils se trouvent confrontés. La chaîne de contamination met en évidence le perfectionnement des menaces actuelles, considérées comme des événements multiphases : chaque étape engendre des effets spécifiques, souvent combinés par les pirates en vue d'augmenter les dommages potentiels.

D'autres modèles présentent les cyber attaques comme des événements multiphases dynamiques. C'est notamment le cas de la Cyber Kill Chain [1] de Lockheed Martin et du cycle de vie des exploitations de Mandiant [2], bien connus des chercheurs en sécurité du monde entier. Si ces deux exemples décomposent la démarche des APT, le modèle de la chaîne de contamination, lui, est axé sur les utilisateurs afin de permettre aux particuliers comme aux entreprises de comprendre les menaces qui planent sur leurs propres systèmes. En expliquant les différents niveaux de contamination qui accompagnent chaque phase, ce modèle vise à donner à ses destinataires, notamment aux administrateurs informatiques, de nouvelles clés pour prévoir, empêcher et intercepter les attaques avant qu'elles ne causent des violations de données ou d'autres coûteux incidents de sécurité.

La chaîne de contamination comprend quatre grandes phases. Bien que les attaques et outils des pirates se limitent parfois à une seule, c'est rarement le cas à l'heure actuelle. En effet, les menaces modernes associent en général plusieurs phases afin de démultiplier les dégâts occasionnés. De plus, même si les pirates peuvent abandonner un certain type d'attaque ou de campagne, il vaut mieux que les particuliers et les entreprises préparent leur défense contre les menaces et composants multiphases afin de ne pas leur prêter le flanc.

CHAÎNE DE CONTAMINATIONUn modèle axé sur les utilisateurs

22

2524

UN CODE MALVEILLANT S'EXÉCUTE DANS LE SYSTÈME DE LA VICTIME

Les pirates peuvent installer (ou « injecter ») un contenu qui exécute en général un code ou logiciel malveillant produisant des effets indésirables. Ce contenu malveillant comprend des malware du type ransomware, bot, virus ou cheval de Troie.

LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS

Les pirates peuvent tirer parti des vulnérabilités des systèmes à l'aide d'un code spécial (exploit). Ils peuvent aussi piéger les internautes de sorte qu'ils leur donnent accès à leur ordinateur sans le savoir (ingénierie sociale).

LES INTERNAUTES ET LEURS APPAREILS SONT EXPOSÉS AU PIRATAGE

Navigation sur Internet, envoi d'e-mails, utilisation de lecteurs amovibles… autant d'activités normales au cours desquels les internautes peuvent, sans le savoir, s'exposer à des menaces. Par ailleurs, les pirates peuvent tenter, par la ruse ou par la force, de les placer en position de faiblesse, au moyen d'attaques techniques (redirecteurs et malware, par exemple) ou d'opérations d'ingénierie sociale (campagnes de hameçonnage, entre autres).

LES PIRATES CHERCHENT À PROLONGER OU DÉMULTIPLIER LEURS DOMMAGES

L'attaque persiste ou s'intensifie de façon à contaminer davantage sur le système touché ou les réseaux exposés.

CHAÎNE DE CONTAMINATIONÉtape par étape

INCEPTION

INTRUSION

INFECTION

INVASION


Ces menaces sont souvent injectées dans un système par le biais d'autres malware ou après contamination par un kit d'exploitation.

INCEPTION

INTRUSION

INFECTION

INVASION


Ces menaces (toutes de type exploit) offrent un accès direct au système des victimes en exploitant ses vulnérabilités ou les programmes qui y sont installés. Elles peuvent aussi permettre aux pirates d'en prendre le contrôle.


Ces menaces ont essentiellement pour but de placer les victimes en position de faiblesse. Ainsi, les chevaux de Troie redirecteurs orientent les internautes vers des sites malveillants qui les exposent souvent à des kits d'exploitation. En général, les chevaux de Troie Macro, Autorun et « raccourcis » (sans oublier le ver Njw0rm) se dissimulent dans des fichiers en apparence inoffensifs pour que leurs cibles les enregistrent dans leur système, ce qui augmente la probabilité de leur exécution.


Une fois présentes dans un système, ces menaces sont capables de se démultiplier sur les autres machines appartenant au même réseau, renforçant ainsi les effets de la première infection. Certaines menaces, comme Gamarue ou Dorkbot, peuvent aussi contacter un serveur distant pour récupérer des instructions complémentaires des cyber criminels, susceptibles d'accroître l'impact de l'infection.

Gamarue cheval de

Troie

WormLink exploit

Nuclearkit

d'exploitation

Downadup ver

(Conficker)

Ippedo ver

Trojan.LNK.Gen

Sality bot

Trojan: W32/

Autorun

Ramnit bot

Trojan: JS/

Redirector

Worm: W32/

Kataja

Trojan: W97M/

Malicious Macro

Exploit: SWF/

Salama

Njw0rm ver

Dorkbot ver

Dridex cheval de

Troie-télé-chargeur

CHAÎNE DE CONTAMINATIONPrincipales menaces par étape

Kilim cheval de

Troie

Exploit: Java/

Majava

24 25

Angler kit

d’exploitation

2726

NJW0RMChaîne de contamination


Le ver Njw0rm peut s'introduire dans un système de deux façons : lors de téléchargements à la dérobée sur des sites web malveillants ou en misant sur la curiosité des internautes qu'il invite à ouvrir une pièce jointe malveillante ou un fichier sur un lecteur amovible infecté.


Le ver Njw0rm se propage par le biais des lecteurs amovibles touchés, de sites web malveillants et d'e-mails conçus spécialement à l'attention de particuliers ou d'entreprises spécifiques (harponnage).


Le ver Njw0rm ouvre une backdoor dans le système, créant ainsi un point d'entrée pour une potentielle contamination ultérieure. Il fonctionne également comme un bot qui donne au pirate le contrôle à distance de l'ordinateur infecté. De plus, il est capable de voler des données de connexion en ligne, de se mettre à jour ou se désinstaller tout seul et de renseigner l'auteur de l'attaque sur le système touché.


Une fois exécuté, le vers Njw0rm s'installe dans plusieurs dossiers système clés. De plus, il manipule le registre système de sorte qu'il soit automatiquement exécuté à chaque redémarrage.

Il s'agit d'un ver VBS qui se propage par le biais de lecteurs amovibles, de pièces jointes à des e-mails ciblés à l'attention de particuliers ou d'entreprises et de téléchargements à la dérobée sur des sites web malveillants. Une fois introduit dans un système, il y exécute d'autres fichiers, vole des identifiants, mots de passe et informations sur les portails en ligne associés, se met à jour ou se désinstalle tout seul, et contacte un serveur de commande et contrôle (C&C) pour obtenir des instructions complémentaires. De plus, il renseigne l'auteur de l'attaque sur le système touché, en lui communiquant les adresses IP visitées, des informations sur le système d'exploitation, etc.

COSMICDUKE


CosmicDuke infecte les systèmes avec un voleur d'informations doté de fonctions de keylogging, de capture d'écran et d'exportation de clés de déchiffrage, capable de voler des données de connexion des navigateurs et clients de messagerie électronique ou instantanée.


CosmicDuke s'insinue dans un système en exploitant ses vulnérabilités logicielles lorsque la victime ouvre ou affiche une pièce jointe malveillante, ou en comptant sur sa curiosité pour lui faire exécuter le code de la pièce jointe en question.


Les internautes se trouvent initialement exposés à CosmicDuke via des campagnes de harponnage utilisant des pièces jointes malveillantes.


CosmicDuke exfiltre des données volées via les protocoles HTTP, HTTPS, FTP ou WebDav à l'aide de serveurs C&C. Il s'agit notamment de données de connexion grâce auxquelles les pirates peuvent accéder aux systèmes touchés à distance, sans aucun malware supplémentaire ni outil spécial, et faire ainsi persister leur contamination bien au-delà du niveau d'infection initial.

Chaîne de contamination

CosmicDuke est le nom de l'un des outils utilisés par les Dukes, un groupe de cyber espionnage qui serait soutenu par l'État russe (voir « Présentation des Dukes », p. 20). Depuis 2008, les Dukes utilisent activement au moins neuf outils pour voler des informations dans le cadre de leurs opérations de renseignement. Les autorités gouvernementales, organes politiques et autres entités détenant des informations relatives aux politiques de sécurité et d'affaires étrangères de différents pays sont leurs cibles de prédilection.

CosmicDuke repose sur un voleur d'informations. Les pirates peuvent décider de lui adjoindre individuellement plusieurs autres composants. CosmicDuke disposera alors de fonctions supplémentaires (par exemple, plusieurs méthodes de persistance) ainsi que de modules qui visent à exploiter les vulnérabilités permettant de l'exécuter avec une élévation de privilèges.

INCEPTION

INTRUSION

INFECTION

INVASION

26 27

2928

INCEPTIONL'inception est la première phase de la chaîne de contamination. Elle concerne tous les internautes, particuliers comme entreprises, exposés à des menaces en général ou à une seule menace précise. Il arrive souvent que les particuliers et les entreprises s'exposent à des menaces sans le savoir et les pirates anticipent désormais ce comportement. Toutefois, ces derniers sont nombreux à jouer un rôle plus actif afin de mettre leurs cibles potentielles en position de faiblesse au moyen d'attaques techniques (malware, par exemple) et/ou d'opérations d'ingénierie sociale (campagnes de hameçonnage, entre autres).

Trojan:JS/Redirector est un ensemble d'attaques web visant à rediriger les internautes vers un site web non désiré à partir du site web qu'ils consultent ou souhaitent visiter. Dans certains cas, il arrive aux sites légitimes de rediriger leurs visiteurs : les pirates ont détourné cette technique afin de les orienter vers des pages malveillantes. En général, ils contaminent l'un de ces sites légitimes dans l'intention d'atteindre ceux qui le consultent.

Trojan:JS/Redirector utilise des sites web non désirés qui partagent tout ou partie des caractéristiques suivantes :

z Contenu à caractère pornographique

z Injection de malware dans l'ordinateur de l'internaute

z Exfiltration de données stockées sur l'ordinateur de l'internaute

z Opération frauduleuse avec détournement du trafic Internet entrant

Les redirecteurs constituent des moyens aussi courants qu'efficaces pour lancer une attaque, et les pirates s'en sont fréquemment servis en 2015 pour orienter le trafic Internet vers des kits d'exploitation.

Trojan:JS/Redirector.FE a été le plus actif des redirecteurs observés en 2015. Il renvoyait les internautes vers des serveurs hébergeant des kits d'exploitation, notamment deux prépondérants : Angler et Neutrino. La plupart des attaques de Trojan:JS/Redirector.FE ont été détectées en Allemagne, suivie par la France, la Suède et les États-Unis.

Trojan:JS/Redirector.FD (alias BizCN [1]) s'est lui aussi montré actif en 2015. À l'origine, il renvoyait les internautes vers des serveurs hébergeant FiestaEK, avant de passer à NuclearEK et NeutrinoEK. Il a enregistré bien plus de détections aux États-Unis qu'ailleurs, mais s'est aussi révélé sensiblement présent au Royaume-Uni, en Finlande et au Canada.

Trojan:SWF/Redirector.EW (alias EITest Flash Redirector [2]) s'est aussi passablement illustré en 2015, plus particulièrement au printemps et à l'automne. Il semble avoir servi à lancer les campagnes AnglerEK qui ont sévi durant ces périodes. Là encore, les régions les plus touchées ont été l'Amérique du Nord (États-Unis) et l'Europe (Suède, Royaume-Uni et Pays-Bas).

Pour rappel, bon nombre des sites web qui hébergent des redirecteurs ne sont pas eux-mêmes malveillants. Il s'agit simplement de sites légitimes que leurs failles intrinsèques laissent à la merci des pirates, ce qui en fait des victimes et non des criminels. Par exemple, il ressort qu'un grand nombre des sites web hébergeant Trojan:SWF/Redirector.EW ont été conçus avec WordPress. Il est tout à fait possible que les sites web touchés aient été précisément ciblés pour cette raison, ou bien parce qu'ils utilisaient un plug-in vulnérable.

Toutefois, un faisceau de preuves semble indiquer que les pirates ont utilisé d'autres techniques, notamment des attaques brutales pour récupérer les mots de passe protégeant les droits d'accès de niveau administrateur aux sites web ciblés. Or, le chargement de scripts malveillants (des redirecteurs, par exemple) devient un jeu d'enfant pour les pirates lorsqu'ils disposent de ce genre d'accès.

La prédominance des détections de Trojan:JS/Redirector en Amérique du Nord et en Europe correspond aux observations faisant état de la place prédominante des kits d'exploitation dans ces régions du monde. Les redirecteurs devraient donc être considérés comme de graves menaces visant les particuliers et les entreprises qui y sont installés.

Les redirecteurs sèment la panique aux USA et dans l'UE


PAYS LES PLUS TOUCHÉS

POURCENTAGE DES DÉTECTIONS SIGNALÉES PAR PAYS

TROJAN:JS/REDIRECTOR.FE

AllemagneFranceSuède

États-UnisAutres

2317

1110

39

TROJAN:JS/REDIRECTOR.FD

États-UnisRoyaume-Uni

CanadaFinlande

Autres

581088

17

TROJAN:SWF/REDIRECTOR.EW

SuèdeÉtats-Unis

Royaume-UniPays-Bas

Autres

3021

1411

26

VULNÉRABILITÉS TOP 5 DES KITS D'EXPLOITATIONProgramme Réf. CVE Angler Neutrino Nuclear Magnitude Rig

Flash Player CVE-2015-0310










Silverlight CVE-2015-1671

Internet Explorer CVE-2015-2419




L'intrusion est la phase de la chaîne de contamination qui marque le début de l'attaque proprement dite. Les particuliers et les entreprises qui s'exposent à des menaces fournissent aux pirates l'occasion de s'immiscer dans leurs systèmes. Les techniques d'ingénierie sociale visent à piéger les internautes de sorte qu'ils permettent aux pirates d'accéder à leur ordinateur. Pourtant, la ressource la plus plébiscitée en matière d'intrusion est l'exploit. Ce type de menace permet aux pirates de tirer parti des vulnérabilités logicielles afin d'obtenir un certain niveau d'accès, voire de contrôle, sur les systèmes exposés.

menaces en Suède, aux États-Unis, au Royaume-Uni et en Australie. Angler s'est montré capable de prendre en charge les vulnérabilités Flash plus vite et plus souvent que les autres kits d'exploitation prépondérants. Le piratage de la société italienne Hacking Team, spécialisée en logiciels de surveillance, illustre la redoutable efficacité de ce type de menace, surtout Angler, pour exploiter de nouvelles failles.

Incident Hacking Team

Durant la première semaine de juillet 2015, un volume considérable de données détenues par Hacking Team a été rendu public. Il contenait notamment deux vulnérabilités Flash Zero Day.

La première, CVE-2015-5119, a été utilisée le jour même de l'incident par trois kits d'exploitation (Angler, Neutrino et Nuclear). Deux autres l'ont reprise dans les deux jours suivants, bien qu'Adobe ait fourni un correctif le lendemain de la publication des données [1].

La seconde, CVE-2015-5122, a été adoptée par AnglerEK le lendemain de sa découverte parmi les données de Hacking Team [2]. NeutrinoEK l'a reprise le jour suivant. Deux jours plus tard, les créateurs de NuclearEK et RigEK ont également intégré à leurs kits des exploits ciblant cette vulnérabilité. Le tout avant qu'Adobe ait pu élaborer et déployer un correctif.

Les exploits sont des bouts de code conçu pour tirer parti des vulnérabilités logicielles des ordinateurs et représentent une ressource prépondérante des pirates à l'heure actuelle. Leur réussite dépend de leur découverte d'une vulnérabilité logicielle dans les systèmes ciblés. Les exploits se trouvent souvent groupés dans un kit d'exploitation, qui a pour but de scanner les logiciels installés sur les appareils touchés à la recherche de vulnérabilités non corrigées afin d'employer l'exploit le plus pertinent. Il ne reste alors plus au kit qu'à exploiter cette faille de sécurité de façon à injecter du contenu malveillant, sous forme de ransomware par exemple.

Dans la lignée des observations de 2014, les kits d'exploitation ciblant les vulnérabilités Flash ont de nouveau affiché une présence prépondérante en 2015. S'il existait en 2013 des kits d'exploitation visant plusieurs vulnérabilités Java, leurs créateurs se sont maintenant tournés vers Flash.

AnglerEK, le plus actif et le plus efficace en matière d'intégration d'exploits destinés aux vulnérabilités Flash, a été remarqué dans un certain nombre de campagnes tout au long de l'année dernière. Ses créateurs l'ont en effet doté d'une prise en charge des vulnérabilités Flash plus souvent que les auteurs des autres principaux kits d'exploitation. En 2015, AnglerEK a été fréquemment détecté dans plusieurs pays différents, au point de se hisser à la première place du classement des

INTRUSION

AnglerEK domine Flash

VULNÉRABILITÉS LES PLUS UTILISÉES PAR LE TOP 5 DES KITS D'EXPLOITATION EN 2015

Angler a été le kit d'exploitation le plus actif et le plus efficace en matière d'intégration d'exploits à son arsenal.

3130

Public Vulnérabilité rendue publique

Corrigé Correctif émis par le fournisseur

Exploit ajouté au kit d'exploitation

FRISE DE L'AJOUT DES PRINCIPAUX EXPLOITS AUX KITS D'EXPLOITATION

Public

MAI JUIN JUIL AOU

CVE-2015-1671 MS15-065

Silverlight

CVE-2015-2419 MS15-044Internet Explorer

Public

Angler Magnitude

AnglerMagnitude

Nuclear

Public

Public

Corrigé

6 127 8 9

Corrigé

10 11 13 14

RigMagnitude

Angler

Neutrino Nuclear

Rig

Magnitude

MOIS

JOURS

*Vulnérabilités Flash Player révélées lors du piratage de Hacking Team

AnglerNuclear

Neutrino

Neutrino

Flash étant utilisé sur plusieurs plateformes, ses failles constituent des cibles de choix pour les développeurs de kits d'exploitation. D'ailleurs, ils sont bien plus nombreux et réactifs quand il s'agit de créer des exploits visant les vulnérabilités Flash que lorsqu'il est question de s'adapter aux failles d'autres programmes. Ainsi, les créateurs d'Angler et de Magnitude ont mis deux mois à exploiter la vulnérabilité Silverlight CVE-2015-1671 révélée en mai. De la même façon,

les cinq principaux kits d'exploitation n'ont pas pris en charge la vulnérabilité Internet Explorer révélée à la mi-juillet avant le mois d'août.

AnglerEK a été assez souvent détecté en 2015 pour compter parmi les formes d'intrusion les plus couramment rencontrées par les particuliers et les entreprises.

CVE-2015-5119*

CVE-2015-5122*

En avril dernier, l'organisme américain chargé de la sécurité informatique (US-CERT – United States Computer Emergency Readiness Team) a publié une alerte concernant l'utilisation de logiciels non corrigés dans les entreprises. Selon ses informations, 85 % des attaques ciblées pourraient être évitées et les entreprises devraient plus rapidement corriger et mettre à jour leurs logiciels afin de donner moindre prise aux pirates [3].

Cependant, cette alerte n'a toujours pas produit l'effet escompté. D'après certaines recherches, un quart des versions de WordPress actuellement utilisées en Finlande contiendraient des vulnérabilités exploitables. De plus, les données historiques portent à croire que la situation s'aggrave. Ainsi, une enquête similaire conduite en 2014 avait conclu que 24 % des versions de WordPress étaient vulnérables, un chiffre en hausse à 26 % en 2015.

Les failles logicielles sont la raison d'être du marché des exploits, qui fait florès en tirant parti de l'utilisation constante de logiciels obsolètes ou non corrigés. Cette situation génère en effet une demande pour les exploits adaptés à ces vulnérabilités, ce qui stimule à son tour l'offre des créateurs. Le fait que WordPress ait vu son taux d'utilisation doubler en Finlande entre 2014 et 2015 devrait être considéré comme un indicateur du potentiel de croissance dont jouit le marché des exploits WordPress.

UTILISATION DE WORDPRESS

EN FINLANDE

WordPress dans la tourmente en Finlande 25 000

15 000

5 0000

2014 2015

Vulnérable Mis à jour


Les infections par malware sont la bête noire des particuliers comme des entreprises, car elles déterminent l'impact de l'attaque sur les internautes. En effet, dès qu'un pirate peut accéder à un système, il est libre d'y insérer un ou plusieurs fichiers malveillants produisant des effets indésirables. Selon les caractéristiques de l'attaque, les malware entraînent des violations et autres incidents de sécurité, dont des violations de données, la perte de contrôle sur les informations ou sur l'infrastructure critique et la dégradation des performances système. En 2015, le contenu malveillant employé a pris la forme de chevaux de Troie bancaires (Dridex), de botnet (Ramnit ou Sality), de voleurs d'informations (Fareit) ainsi que de diverses familles de ransomware.

Les ransomware ont eu la faveur des kits d'exploitation les plus souvent détectés en 2015 et sont devenus des outils efficaces pour extorquer aussi bien les particuliers que les entreprises. Ces familles de menaces sont conçues pour soutirer de l'argent à leurs victimes en verrouillant leurs périphériques et leurs données jusqu'à ce qu'elles versent une rançon (« ransom », en anglais). L'approche adoptée pour bloquer l'accès aux systèmes varie selon les familles. En revanche, elles ne se divisent qu'en deux groupes : les ransomware « Gendarmerie » et les crypto-ransomware. Les premiers bloquent tout accès aux périphériques et aux données en se faisant passer pour des représentants de la force publique informant l'internaute qu'il a violé une quelconque loi et doit payer une amende pour retrouver l'usage de son système infecté. Les seconds chiffrent le contenu des périphériques afin d'empêcher la victime de s'en servir jusqu'à ce qu'elle paie une rançon pour obtenir la clé de déchiffrage correspondante.

Bien que le nombre de ransomware « Gendarmerie » ait diminué en 2015, plusieurs familles de crypto-ransomware ont fait des adeptes, d'où la présence globalement stable de ce type de menace.

La famille de ransomware « Gendarmerie » Browlock a perdu du terrain par rapport à 2014, mais elle s'est suffisamment illustrée début 2015 pour enregistrer davantage de détections que toutes les autres familles sur l'année entière. À l'inverse, plusieurs variantes de crypto-ransomware sont montées en puissance au fil des mois. Ainsi, CryptoWall a pris assez d'importance en 2015 pour éclipser plusieurs familles de ransomware « Gendarmerie » régnantes en 2014, au point de devenir la famille de crypto-ransomware la plus active pendant la majeure partie de l'année. Deux autres familles, Crowti et Teslacrypt, se sont montrées plus actives au dernier trimestre, gagnant au passage une plus grande place parmi les menaces observées. Dans l'ensemble, davantage de familles de crypto-ransomware ont été plus actives en 2015 qu'en 2014.

KITS D'EXPLOITATIONAngler Nuclear Magnitude Fiesta

Alpha Crypt CryptoWall CryptoWall CryptoWall

CryptoWall CTB-Locker

Reveton TeslaCrypt

TeslaCrypt Troldesh

CONTENU DE RANSOMWARE DIFFUSÉ PAR LES PRINCIPAUX KITS D'EXPLOITATION

DÉTECTIONS DE RANSOMWARE DE 2014 À 2015

Browlock

CTB-Locker

Reveton

Urausy

CryptoWall

Crowti

TeslaCrypt2014

2015

POURCENTAGE DU TOTAL ANNUEL DES DÉTECTIONS DE MALWARE SIGNALÉES

0,40,1

0,0060,003

0,0010,001

0,001

0,01

0,02

0,060,0002

CO

NT

ENU

M

ALV

EILL

AN

T

L'infection est la phase de la chaîne de contamination au cours de laquelle le contenu injecté exécute un code malveillant. Une fois qu'un système est touché, les pirates sont libres d'y installer (ou « injecter ») un contenu qui exécute en général une espèce de code malveillant produisant des effets indésirables. Ce contenu malveillant comprend des malware du type ransomware, bot, virus ou cheval de Troie.

INFECTION

L'ascension des crypto-ransomware

Flash étant utilisé sur plusieurs plateformes, ses vulnérabilités constituent des cibles de choix pour les développeurs de kits d'exploitation

Bien que le nombre de ransomware « Gendarmerie » ait diminué en 2015, plusieurs familles de crypto-ransomware ont fait des adeptes, d'où la présence globalement stable

de ce type de menace.

3332

45+20+9+6+3+17+D33+17+16+13+12+9+D

Si les piratages DNS prennent diverses formes selon leur cible (par exemple, celui d'une grande société est différent de celui d'un particulier ou d'une microentreprise), ils affichent tous le même but : altérer la configuration des systèmes de noms de domaine (DNS – Domain Name System) chez leurs victimes afin de surveiller ou détourner le trafic Internet. Ce type d'attaque est facilité par plusieurs failles de sécurité, notamment la faiblesse des mots de passe, les vulnérabilités logicielles et les malware. Les piratages DNS s'avèrent efficaces pour attaquer en masse les cibles potentielles puisqu'ils permettent de contaminer tous les périphériques connectés à un réseau.

Cette menace, fréquente à l'heure actuelle, a enregistré un pic d'activité significatif au printemps et à l'été 2015, plus précisément d'avril à août. Les attaques menées durant cette période ont modifié la configuration DNS par défaut de leurs cibles en vue de détourner le trafic Internet. Les piratages DNS observés en 2015 étaient concentrés en Italie et en Pologne, et dans une moindre mesure en Égypte, en Suède et en Inde.

Leurs auteurs ont le plus souvent redirigé le trafic Internet vers des adresses IP malveillantes qui injectaient le malware Kelihos dans les périphériques infectés. Kelihos est un botnet prépondérant qui sert à envoyer du courrier indésirable et lancer des attaques DDoS. Il est également capable de voler des informations, dont des données de connexion. Les chevaux de Troie Fareit, Pkybot et Zbot ainsi que le malware Asprox – lié au botnet du même nom – formaient également une grande partie des autres types de contenu malveillant diffusé lors des piratages DNS en 2015.

L'altération des paramètres DNS n'était que la fin justifiant les moyens : comme de nombreuses attaques modernes, les piratages DNS ne sont pas cantonnés à une seule phase de la chaîne de contamination. Dans quasiment la moitié (48 %) des cas détectés, ils ont en effet servi à instaurer des botnets. Par ailleurs, Pkybot et Fareit agissent à la fois comme des voleurs d'informations et comme des téléchargeurs, qui injectent du contenu malveillant supplémentaire après l'infection initiale.

Ainsi, dans une écrasante majorité des cas (77 %), les pirates ont tenté d'obtenir un accès persistant aux systèmes touchés afin de pouvoir s'y immiscer davantage pour déclencher de nouvelles infections ou instaurer une contamination permanente. Par conséquent, les internautes devraient considérer les piratages DNS comme de possibles menaces persistantes pour leurs appareils et leurs réseaux, que les cyber criminels peuvent utiliser longtemps à diverses fins.

AUTRES 33

ITALIE 17

POLOGNE 16

SUÈDE 12

ÉGYPTE 13

INDE 9

PRINCIPAUX PAYS

TOUCHÉS (%)

AU T R E S 17

KELIHOS 45

FAREIT 20

PKYBOT 9

ZBOT 6

ASPROX 3

PRINCIPALES MENACES

AVEC ROUTEURS DNS

PIRATÉS (%)

L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou son réseau. La méthode d'intensification employée dépend des caractéristiques de l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation. Avec l'approche « infiltration », les pirates peuvent s'immiscer davantage dans le système touché, ce qui leur permet de planifier d'autres attaques ou de prolonger les effets de la première en provoquant une contamination persistante.

INVASION : INFILTRATION

Piratage DNS en 2015 : des bots, des téléchargeurs et des voleurs d'informations

0

5

10

15

20

25

30

DECJUNJAN

INFECTIONS PAR PIRATAGE DNS (2015)

%

MOIS

30

25

20

15

10

5

0JANV JUIN DÉC

Les piratages DNS ont enregistré un pic d'activité d'avril à août 2015.

Des chercheurs ont déjà remarqué que les campagnes de crypto-ransomware disposent d'une infrastructure qui incite leurs cibles à verser la rançon et leur fournit ensuite automatiquement les clés de déchiffrage nécessaires [1]. De leur côté, les auteurs de campagnes de ransomware « Gendarmerie » tendent à se contenter de toucher la rançon sans aider les internautes à se débarrasser de leurs infections [2]. Étant donné que les auteurs d'attaques par crypto-ransomware aident souvent leurs victimes pour s'assurer qu'elles les paieront, et que le montant demandé est relativement

raisonnable, le FBI recommande aux entreprises touchées de verser tout simplement la rançon [3]. En 2015, plusieurs services de police américains ont suivi ce conseil et payé chacun des centaines de dollars à des extorqueurs en ligne afin de libérer leurs systèmes de l'emprise de ransomware [4]. Ce genre d'exemple souligne aussi bien l'efficacité des ransomware en tant qu'outils d'extorsion que l'importance de contrer les attaques en amont de la phase d'infection.

POU

RCEN

TAG

E D

U T

OTA

L D

ES D

ÉTEC

TIO

NS

DE

MA

LWA

RE S

IGN

ALÉ

ES (

2015

)

JANV FÉV OCTSEPAOUJUILJUINMAIAVRMARS NOV DEC

PRINCIPALES DÉTECTIONS DE RANSOMWARE EN 2015

Janv 2015 Browlock : 0,103 %

Crowti

CryptoWall

UrausyReveton

TeslaCrypt

CTB-Locker

0,002

0,004

0,006

0,008

0,010

0,012

0,014

0,016

0,018


CryptoWall a été la famille de ransomware la plus souvent détectée sur la majorité de l'année 2015.

MOIS (2015)

AFFICHAGE DE DEMANDES DE RANÇON

Demandes de rançons affichées par le ransomware « Gendarmerie » Browlock (à gauche) et le crypto-ransomware CryptoWall (à droite)

3534

En 2015, Downadup s'est maintenu au rang de type de malware le plus fréquemment détecté. Ce ver, découvert en 2008, est aujourd'hui reconnu comme l'une des infections informatiques les plus répandues. Downadup s'en prend aux systèmes Windows non corrigés (dont plusieurs versions de Windows Server), d'où il se propage aux réseaux vulnérables connexes.

Depuis ses débuts en 2008, Downadup a infecté des millions d'ordinateurs et causé des perturbations considérables pendant que les entreprises ciblées s'efforçaient de le combattre [1]. À un moment, Microsoft offrait une récompense de 250 000 dollars (soit plus de 220 000 euros) pour toute information conduisant à la condamnation de ses créateurs [2]. Combinant différentes tactiques, Downadup se révélait plus perfectionné que tous les autres vers informatiques connus des chercheurs à l'époque, d'où son inclusion parmi les familles de malware les plus invasives jamais recensées.

Downadup reste une famille de malware prépondérante à ce jour. C'est d'ailleurs la plus fréquemment détectée en Allemagne, en Finlande, en France, en Inde, en Italie et en Norvège. Bien qu'il existe de nombreux antivirus capables de repérer et d'éradiquer ce ver chez les particuliers, il demeure compliqué de le supprimer de réseaux plus étendus tels que ceux des opérateurs de télécommunications ou des multinationales.

L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou son réseau. La méthode d'intensification employée dépend des caractéristiques de l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation. L'infestation est ce qui se passe lorsqu'une attaque parvient à se propager au-delà d'un périphérique ou système touché, s'étendant à tout un réseau.

INVASION : INFESTATION

Downadup pourrait-il se refaire une santé grâce à l'Internet des objets ?Sans compter que, bien qu'il ne soit plus tout jeune, Downadup a trouvé de nouveaux supports de propagation. Ainsi, il a été repéré en novembre 2015 dans plusieurs caméras portatives fabriquées spécialement pour des forces de police américaines [3]. De nombreux appareils relevant de l'Internet des objets (IdO), dont les caméras portatives, sont incompatibles avec les antivirus traditionnels. Si ces périphériques non sécurisés prolifèrent, il est donc tout à fait possible que des menaces du genre de Downadup connaissent un regain d'activité.

?

Les malware continuent à se démocratiser et les plateformes de malware-as-a-service, de mieux en mieux organisées, ne cessent de se perfectionner. Il est facile d'acheter en ligne des campagnes clé en main personnalisées. Une fois qu'elles sont lancées, des botnets distribuent du courrier indésirable qui déclenche des infections. Le contenu malveillant injecté communique alors les informations recueillies à une infrastructure dorsale gérée qui fait partie intégrante du service fourni. Nous avons même observé la réalisation de tests bêta avant le lancement effectif d'une campagne. Bien qu'elles aient essentiellement pour objet de générer des gains financiers, ces campagnes de malware-as-a-service servent parfois à d'autres fins malveillantes telles que voler des données ou vouer des internautes à la honte publique. En comparaison des coûts qu'elle occasionne pour chacun des particuliers et entreprises concernés, une campagne de malware s'avère incroyablement économique.

Nous constatons toujours une montée en flèche des ransomware, une tendance qui devrait se poursuivre tout au long de l'année 2016. Non seulement les campagnes de ransomware gagnent en structure et en perfectionnement, mais les malware eux-mêmes se font plus retors. Les crypto-ransomware comptent parmi les logiciels les plus destructeurs repérés des derniers temps. Leur méthode consiste à chiffrer en bloc les fichiers stockés sur une machine, en donnant pour seul recours à la victime de payer ses assaillants pour obtenir une clé de déchiffrage. Récemment, ce type de malware est devenu le cauchemar des entreprises en parvenant à chiffrer des fichiers partagés sur des réseaux non assignés. Le montant de la rançon exigée peut dépasser 400 dollars (soit plus de 350 euros) par système infecté.

Nous nous attendons à ce que les APT renforcent encore leur présence en 2016. Les groupes organisés (par exemple, des États-nations, pirates militants, prestataires de services de sabotage et d'espionnage industriel et autres cyber criminels) s'intéressent aux sociétés et aux organes gouvernementaux dans le but de générer des gains financiers, voler leurs données, perturber leurs activités et ternir leur réputation. À l'inverse des criminalware, qui s'en prennent sans distinction à tous les systèmes à leur portée, les APT sont très ciblées et difficiles à détecter avec les moyens traditionnels. Pour contrer de telles menaces, il faut une stratégie de cyber sécurité nettement plus développée.

Les ransomware et les APT se retrouvent à la une de l'actualité quasiment toutes les semaines, dans des articles qui s'étendent désormais à d'autres supports que les seuls sites spécialisés. À l'heure où les consciences s'éveillent à la réalité de la cyber criminalité et de la cyber guerre, les autorités gouvernementales se hâtent de rédiger de nouvelles réglementations qui fourniront assurément des lignes directrices aux entreprises. L'année à venir s'annonce par ailleurs riche en débats publics autour du chiffrement et de l'accès aux données à caractère personnel, deux sujets concernant tous les propriétaires d'ordinateurs et de smartphones. Pour couronner le tout, l'Internet des objets continuera à s'étendre et pourrait bien peser dans les débats ouverts en matière de cyber sécurité.

ANDY PATELTechnology Outreach@r0zetta

CONCLUSION

« À L'HEURE OÙ LES CONSCIENCES

S'ÉVEILLENT À LA RÉALITÉ DE LA

CYBER CRIMINALITÉ ET DE LA CYBER

GUERRE, LES AUTORITÉS

GOUVERNE-MENTALES SE

HÂTENT […] »

3736

2015 EN BREF (PAGES 8 À 9)

Sécurité numérique

1. Chine : Mise à jour des lois relatives au contrôle d'Internet RAMZY (Austin), « What You Need to Know About China's Draft Cybersecurity Law », New York Times, 9 juillet 2015. http://sinosphere.blogs.nytimes.com/2015/07/09/what-you-need-to-know-about-chinas-draft-cybersecurity-law/?_r=1

2. USA : Sanctions prévues contre la Chine pour cyber vol NAKASHIMA (Ellen), « U.S. developing sanctions against China over cyberthefts », Washington Post, 30 août 2015. https://www.washingtonpost.com/world/national-security/administration-developing-sanctions-against-china-over-cyberespionage/2015/08/30/9b2910aa-480b-11e5-8ab4-c73967a143d3_story.html

3. Chine/USA : Entretien cyber sécurité avant la visite officielle « US and China officials talk cybersecurity after Obama's warning about attacks », The Guardian, 13 septembre 2015. http://www.theguardian.com/us-news/2015/sep/13/us-and-china-officials-talk-cybersecurity-after-obamas-warning-about-attacks

4. UE/USA : Invalidation de l'accord Safe Harbor NAKASHIMA (Ellen), « Top E.U. court strikes down major data-sharing pact between U.S. and Europe », Washington Post, 6 octobre 2015. https://www.washingtonpost.com/world/national-security/eu-court-strikes-down-safe-harbor-data-transfer-deal-over-privacy-concerns/2015/10/06/2da2d9f6-6c2a-11e5-b31c-d80d62b53e28_story.html

5. USA - CISA : Adoption par le Sénat malgré des inquiétudes WILLIAMS (Martyn), « Controversial CISA bill sails through Senate despite strong tech opposition », PCWorld, 28 octobre 2015. http://www.pcworld.com/article/2998171/privacy/cisa-sails-through-senate-despite-tech-opposition.html

6. USA - DMCA : Davantage de produits de « piratage légal » KRAVETS (David), « US regulators grant DMCA exemption legalizing vehicle software tinkering », Arstechnica, 27 octobre 2015. http://arstechnica.com/tech-policy/2015/10/us-regulators-grant-dmca-exemption-legalizing-vehicle-software-tinkering/

7. USA : Fin des écoutes téléphoniques massives de la NSA FINGAS (Jon), « The NSA's mass US phone surveillance ends tonight », Engadget, 28 novembre 2015. http://www.engadget.com/2015/11/28/nsa-bulk-nsa-phone-surveillance-ends/

8. Chine : Inquiétudes au sujet de la loi antiterrorisme KIRK (Jeremy), « New Chinese law takes aim at encryption », PCWorld, 27 décembre 2015. http://www.pcworld.com/article/3018426/new-chinese-law-takes-aim-at-encryption.html

SOURCES

Poursuites

1. Europol joint op takes down Ramnit botnet JOZUKA (Emiko), « Europol cracks down on botnet infecting 3.2m computers », The Wired UK, 25 février 2015. http://www.wired.co.uk/news/archive/2015-02/25/europol-ramnit-crackdown

2. Démantèlement du bot Ramnit par Europol GOODIN (Dan), « Criminal hacking bazaar Darkode is dismantled and 70 members are busted », Arstechnica, 15 juillet 2015. http://arstechnica.com/tech-policy/2015/07/criminal-hacking-bazaar-darkode-is-dismantled-and-70-members-are-busted/

3. Perturbation de l'activité du kit d'exploitation Angler MLOT (Stephanie), « Cisco Disrupts $30M Ransomware Operation », PC Mag, 7 octobre 2015. http://www.pcmag.com/article2/0,2817,2492718,00.asp?kc=PCRSS03069TX1K0001121

4. Chine : Arrestation de pirates sur requête des USA NAKASHIMA (Ellen) et GOLDMAN (Adam), « In a first, Chinese hackers are arrested at the behest of the U.S. government », Washington Post, 9 octobre 2015.https://www.washingtonpost.com/world/national-security/in-a-first-chinese-hackers-are-arrested-at-the-behest-of-the-us-government/2015/10/09/0a7b0e46-6778-11e5-8325-a42b5a459b1e_story.html?postshare=9811444395972124

5. UE : Raids policiers liés au malware DroidJack BARANIUK (Chris) « UK arrest made as European police raid homes over malware », BBC, 30 octobre 2015. http://www.bbc.com/news/technology-34668337

6. USA : 4,5 ans de prison pour le créateur du bot Citadel ZORABEDIAN (John) « Jail for Russian man who distributed Citadel banking malware to thousands », Naked Security, 1er octobre 2015. https://nakedsecurity.sophos.com/2015/10/01/jail-for-russian-man-who-distributed-citadel-banking-malware-to-thousands/

7. R-U/USA : Inculpation du créateur du bot Dridex CARSULA (Gerald), « Dridex Takedown », Blog web du Laboratoire F-Secure, 15 octobre 2015. https://labsblog.f-secure.com/2015/10/15/dridex-takedown/

Attaques

1. Piratage de Hacking Team, divulgation de données en ligne FOX-BREWSTER (Thomas), « Hacking Team Breach Exposes Insecurities Of A Controversial Surveillance Dealer », Forbes, 6 juillet 2015. http://www.forbes.com/sites/thomasbrewster/2015/07/06/hacking-team-hacked/#64c1d0cc350f

2. Début du nettoyage de l'App Store pour éradiquer XcodeGhost FINKLE (Jim), « Apple cleaning up iOS App Store after first major attack », Reuters, 21 septembre 2015. http://www.reuters.com/article/us-apple-china-malware-idUSKCN0RK0ZB20150921

3. Attaque DDoS « lancée depuis des pubs sur mobile » CONSTANTIN (Lucian), « After pushing malware, ad networks also used for DDoS », PCWorld, 28 septembre 2015. http://www.pcworld.com/article/2986966/security/after-pushing-malware-ad-networks-also-used-for-ddos.html

4. Signalement d'attaques DDoS sur des serveurs turcs SRIDHARAN (Vasudevan), « Anonymous: Turkey reeling under cyberattack as government and banks websites paralysed », International Business Times, 26 décembre 2015.http://www.ibtimes.co.uk/anonymous-turkey-reeling-under-cyber-attack-government-banks-sites-paralysed-1534984

Logiciels malveillants

1. Montée des ransomware « Ransomware on the Rise: FBI and Partners Working to Combat This Cyber Threat », United States Federal Bureau of Investigation, 20 janvier 2015.https://www.fbi.gov/news/stories/2015/january/ransomware-on-the-rise

2. Développement des outils de cyber criminalité des Dukes LEHTIO (Artturi), « Duke APT group's latest tools: cloud services and Linux support », Blog web du Laboratoire F-Secure, 22 juillet 2015. https://www.f-secure.com/weblog/archives/00002822.html

3. Malware Turla « en contact C&C par satellite » ZETTER (Kim), « Russian spy gang hijacks satellite links to steal data », The Wired, 9 septembre 2015. http://www.wired.com/2015/09/turla-russian-espionage-gang-hijacks-satellite-connections-to-steal-data/

4. Identification de nouveaux outils des Dukes LEHTIO (Artturi), « The Dukes: 7 Years Of Russian Cyber-Espionage », Blog web du Laboratoire F-Secure, 17 septembre 2015. https://labsblog.f-secure.com/2015/09/17/the-dukes-7-years-of-russian-cyber-espionage/

Sécurité des produits

1. Google lance les mises à jour de sécurité Nexus mensuelles WEBSTER (Scott), « Google's Nexus line will get monthly security updates », CNet, 5 août 2015. http://www.cnet.com/news/google-to-deploy-monthly-security-updates-to-nexus-line

2. Google corrige la faille de sécurité Android Stagefright KIRK (Jeremy), « Google has another try at patching Stagefright flaw », PCWorld, 13 août 2015. http://www.pcworld.com/article/2971332/google-has-another-try-at-patching-stagefright-flaw.html

3. Amazon et Chrome abandonnent les pubs Flash SULLIVAN (Sean), « Amazon Says No to Flash Ads », Blog web du Laboratoire F-Secure, 21 août 2015. https://labsblog.f-secure.com/2015/08/21/amazon-says-no-to-flash-ads/

4. App Store : Retrait de bloqueurs de pub dépassant les limites O'REILLY (Lara), « Apple has dumped ad blockers that block in-app ads from the App Store », Business Insider, 9 octobre 2015.http://www.businessinsider.my/apple-removes-been-choice-and-other-ad-blockers-from-its-app-store-2015-10/

5. Correction de plusieurs failles par les mises à jour Apple NICHOLS (Shaun), « Got an Apple Mac, iThing? Update it right now — there's a shedload of security holes fixed », The Register, 21 octobre 2015.http://www.theregister.co.uk/2015/10/21/apple_updates_ios_os_x_and_watchos/

Vulnérabilités

1. Détection de la faille FREAK sur Android et Windows GOODIN (Dan), « “FREAK” flaw in Android and Apple devices cripples HTTPS crypto protection », Arstechnica, 3 mars 2015. http://arstechnica.com/security/2015/03/freak-flaw-in-android-and-apple-devices-cripples-https-crypto-protection/

2. Signalement de la faille Android Stagefright HACKETT (Robert), « Stagefright: Everything You Need To Know About Google's Android Megabug », Time, 28 juillet 2015. http://www.time.com/3976049/stagefright-google-android-bug/

3. Signalement de la faille Certifi-gate sur Android BALDWIN (Roberto), « Researchers can take complete control of Android phones », Endgadget, 6 août 2015. http://www.engadget.com/2015/08/06/android-certifigate/

4. Signalement d'un exploit déjouant Gatekeeper sur Mac OS X FLEISHMAN (Glenn), « Gatekeeper bypass in OS X relies on renaming an app », Macworld, 30 septembre 2015. http://www.macworld.com/article/2988059/security/gatekeeper-bypass-in-os-x-relies-on-renaming-an-app.html

5. Signalement de la faille Android Stagefright 2.0 GIBBS (Samuel), « Stagefright 2.0: over 1bn Android smartphones vulnerable to latest bug », The Guardian, 2 octobre 2015. http://www.theguardian.com/technology/2015/oct/02/stagefright-20-android-smartphones-vulnerable-security-bug-hackers

6. Rappels chez Ford, Range Rover, Prius et Chrysler pour cause de bug « Ford issues safety compliance recall in North America », Ford, 2 juillet 2015. https://media.ford.com/content/fordmedia/fna/us/en/news/2015/07/02/ford-issues-safety-compliance-recall-in-north-america.html « Software bug prompts Range Rover recall », BBC, 13 juillet 2015. http://www.bbc.com/news/technology-33506486 « Toyota recalls 625,000 hybrid cars globally for software glitch », Reuters, 15 juillet 2015. http://www.reuters.com/article/us-toyota-recall-idUSKCN0PP0EF20150715

3938

7. Sortie du correctif antipiratage OTA pour la Tesla Model S TEPPER (Fitz), « Researchers Hack A Model S, Tesla Sends Out Over-The-Air Fix », TechCrunch, 6 août 2015. http://techcrunch.com/2015/08/06/researchers-hack-a-model-s-tesla-sends-out-over-the-air-fix/

8. Démonstration de piratage d'une Corvette par des chercheurs GREENBERG (Andy), « Hackers cut a Corvette's brakes via common car gadget », The Wired, 11 août 2015. http://www.wired.com/2015/08/hackers-cut-corvettes-brakes-via-common-car-gadget/

9. Envoi postal Chrysler de clés USB avec correctif logiciel GREENBERG (Andy), « Chrysler catches flak for patching hack via mailed USB », The Wired, 3 septembre 2015. http://www.wired.com/2015/09/chrysler-gets-flak-patching-hack-via-mailed-usb/

EFFRACTION DANS LE JARDIN CLOS (PAGES 18 ET 19)

1. CHENG (Jacqui), « “Find and Call” app becomes first trojan to appear on iOS App Store », Arstechnica, 6 juillet 2012. http://arstechnica.com/apple/2012/07/find-and-call-app-becomes-first-trojan-to-appear-on-ios-app-store/

2. XIAO (Claud), « Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of Millions of Users », Palo Alto Networks, 18 septembre 2015. http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/#

3. HERN (Alex), « Apple removes malicious programs after first major attack on app store », The Guardian, 21 septembre 2015. http://www.theguardian.com/technology/2015/sep/21/apple-removes-malicious-programs-after-first-major-attack-on-app-store

4. YIP (Michael), « UnityGhost: the ghost adventure continues », PwC, 6 octobre 2015. http://pwc.blogs.com/cyber_security_updates/2015/10/unityghost-the-adventure-continues.html

5. EADICICCO (Lisa), « Hundreds of apps have been banned from Apple's App Store for spying on your personal information », Business Insider, 20 octobre 2015. http://www.businessinsider.my/apple-removes-apps-youmi-sdk-personal-information-2015-10/?op=1?r=US&IR=T

6. OSBORNE (Charlie), « Chinese firm behind snooping iOS apps admits guilt », ZDNet, 20 octobre 2015. http://www.zdnet.com/article/chinese-firm-behind-snooping-ios-apps-pulled-by-apple-apologizes/

7. POULSEN (Kevin), « Malware Turns Software Compilers into Virus Breeders », The Wired, 21 août 2009. http://www.wired.com/2009/08/induc/

8. CLULEY (Graham), « W32/Induc-A virus being spread by Delphi software houses », Naked Security, 19 août 2009. https://nakedsecurity.sophos.com/2009/08/19/w32induca-spread-delphi-software-houses/

9. « Apple to officially host Xcode on Chinese servers in wake of malware issue », Apple Insider, 23 septembre 2015. http://appleinsider.com/articles/15/09/23/apple-to-officially-host-xcode-on-chinese-servers-in-wake-of-malware-issue

CHAÎNE DE CONTAMINATION (PAGES 23 À 34)

Chaîne de contamination

1. HUTCHINS (Eric M.), CLOPPERT (Michael J.) et AMIN (Rohan M.), « Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, Lockheed Martin Corporation. http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf

2. « [the advanced persistent threat] », Mandiant, 2010. https://dl.mandiant.com/EE/assets/PDF_MTrends_2010.pdf

Inception : Redirecteurs

1. DUNCAN (Brad), « BizCN gate actor changes from Fiesta to Nuclear exploit kit », SANS ISC InfoSec Forums. https://isc.sans.edu/forums/diary/BizCN+gate+actor+ changes+from+Fiesta+to+Nuclear+exploit+kit/19875

2. SEGURA (Jérôme), « Exposing the Flash ‘EITest’ malware campaign », Malwarebytes Labs, 29 octobre 2014. https://blog.malwarebytes.org/exploits-2/2014/10/exposing-the-flash-eitest-malware-campaign/

Intrusion : Exploits

1. Kafeine, « CVE-2015-5119 (HackingTeam 0d - Flash up to 18.0.0.194) and Exploit Kits », Malware don't need coffee, 8 juillet 2015. http://malware.dontneedcoffee.com/2015/07/hackingteam-flash-0d-cve-2015-xxxx-and.html

2. Kafeine, « CVE-2015-5122 (HackingTeam 0d two - Flash up to 18.0.0.203) and Exploit Kits », Malware don't need coffee, 11 juillet 2015. http://malware.dontneedcoffee.com/2015/07/cve-2015-5122-hackingteam-0d-two-flash.html

3. « Alert (TA15-119A): Top 30 Targeted High Risk Vulnerabilities », US-CERT, 29 avril 2015. https://www.us-cert.gov/ncas/alerts/TA15-119A?hootPostID=b6821137ae5173095390bd502ae04892

Infection : Ransomware

1. SULLIVAN (Sean), « CryptoWall's “Customer Journey” Sounds Like A Real Nightmare », Blog web du Laboratoire F-Secure, 28 septembre 2015. https://labsblog.f-secure.com/2015/09/28/cryptowalls-customer-journey/

2. « Removal Instructions: Removing ‘Police-Themed’ Ransomware », Laboratoire F-Secure, 14 août 2014. https://www.f-secure.com/en/web/labs_global/removing-police-themed-ransomware

3. « FBI's Advice on Ransomware? Just Pay The Ransom. », The Security Ledger, 22 octobre 2015. https://securityledger.com/2015/10/fbis-advice-on-cryptolocker-just-pay-the-ransom/

4. PETERS (Sara), « Police Pay Off Ransomware Operators, Again », Dark Reading, 14 avril 2015. http://www.darkreading.com/attacks-breaches/police-pay-off-ransomware-operators-again/d/d-id/1319918

Invasion : Infestation

1. WILLSHER (Kim), « French fighter planes grounded by computer virus », The Telegraph, 7 février 2009. http://www.telegraph.co.uk/news/worldnews/europe/france/4547649/French-fighter-planes-grounded-by-computer-virus.html

2. « Microsoft Collaborates With Industry to Disrupt Conficker Worm », Microsoft, 12 février 2009. https://news.microsoft.com/2009/02/12/microsoft-collaborates-with-industry-to-disrupt-conficker-worm/

3. GOODIN (Dan), « Police body cams found pre-installed with notorious Conficker worm », Arstechnica, 16 novembre 2016. http://arstechnica.com/security/2015/11/police-body-cams-found-pre-installed-with-notorious-conficker-worm/

4140

ANNEXE

TOP 5 DES MENACES*

*Pourcentage du total des détections de malware signalées en 2015

WORM:W32/NJW0RMVer qui se propage par le biais de lecteurs amovibles et de pièces jointes à des e-mails. Si la victime exécute un lecteur ou fichier infecté sans le vouloir, il ouvre une backdoor, vole ses mots de passe et contacte un site web pour obtenir des instructions complémentaires.

WORM:W32/DOWNADUPVer qui se démultiplie en exploitant une vulnérabilité non corrigée sur les ordinateurs Windows.

TROJAN.LNK.GENDétection générique de fichiers .LNK malveillants créés par les malware AutoIT, VBS et Powershell.

WIN32.SALITYBotnet qui intègre tout périphérique touché au groupe de machines infectées que le pirate contrôle à des fins malveillantes.

TROJAN:W32/GAMARUECheval de Troie qui se sert des ordinateurs touchés pour envoyer du courrier indésirable. Il peut aussi télécharger et installer d'autres malware.

TOP 5 DES MENACES EN 2015*

INTERNATIONAL

0,0

0,3

0,6

0,9

1,2

1,5

DécNovOctSepAoûJuilJuinMaiAvrMarFévJan

TENDANCES DE PRÉDOMINANCE*%

RAPPORTS NATIONAUX|

7,9 %

6,8 %

2,5 %

1,5 %

1,5 %

0.0

0.5

1.0

1.5

2.0

0,0

0,5

1,0

1,5

2,0

T4T3T2T1

TOP 5 DES MENACES*

PRÉDOMINANCE PAR TRIMESTRE*

*Pourcentage du total des détections de malware signalées en Finlande en 2015

EXPLOIT:JS/ANGLEREKDétection qui identifie le code utilisé par le kit d'exploitation Angler pour localiser et cibler des vulnérabilités sur les ordinateurs.

TROJAN:JS/REDIRECTORGroupe de programmes ou de scripts qui redirigent un internaute vers un site web non désiré à partir du site web qu'il consulte ou souhaite visiter.


TROJAN-DOWNLOADER:W97M/DRIDEXCheval de Troie bancaire qui vole les données de connexion à des sites de services bancaires en ligne. Il fonctionne notamment avec un fichier contenant un code de macro qui télécharge le cheval de Troie.

EXPLOIT:JAVA/MAJAVAExploit qui cible les vulnérabilités de la très répandue plateforme de développement Java.


FINLANDE

%

2 %

1,8 %

1,8 %

1,7 %

1,3 %

4342

0,0

0,5

1,0

1,5

2,0

2,5

3,0

3,5

T4T3T2T1

TOP 5 DES MENACES*


*Pourcentage du total des détections de malware signalées en Allemagne en 2015


EXPLOIT:W32/OFFICEEXPLOITPAYLOADCode intégré dans un fichier qui exploite une vulnérabilité Windows. L'ouverture du fichier lance l'exécution automatique de ce code et l'activation du contenu malveillant.


TROJAN:W97M/MALICIOUSMACRODétection générique qui repère les macros malveillantes intégrées aux pièces jointes des e-mails.

EXPLOIT:SWF/SALAMAExploit qui cible les vulnérabilités du très populaire lecteur Flash Player d'Adobe.


ALLEMAGNE

%

5,5 %

3,7 %

3,6 %

2,6 %

2,6 %

0,0

0,5

1,0

1,5

2,0

T4T3T2T1

TOP 5 DES MENACES*


*Pourcentage du total des détections de malware signalées en Suède en 2015

EXPLOIT:JS/NUCLEAREKDétection qui identifie le code utilisé par le kit d'exploitation Nuclear pour localiser et cibler des vulnérabilités sur les ordinateurs.






SUÈDE

%

5 %

3 %

1,5 %

1,3 %

1,2 %

4544

0,0

0,5

1,0

1,5

2,0

2,5

T4T3T2T1

TOP 5 DES MENACES*


*Pourcentage du total des détections de malware signalées en France en 2015


TROJAN:ANDROID/SMSSENDCheval de Troie qui envoie des SMS à des numéros surfacturés à l'internaute.



TROJAN:W32/AUTORUNDétection qui identifie les fichiers Autorun exécutant automatiquement des malware quand l'internaute touché accède à un support amovible (si la fonction de lecture automatique est activée).


FRANCE

%

3,9 %

3,1 %

2,5 %

1,7 %

1,7 %7 8

0,0

0,5

1,0

1,5

2,0

2,5

T4T3T2T1

TOP 5 DES MENACES*


*Pourcentage du total des détections de malware signalées aux États-Unis en 2015

ÉTATS-UNIS

%






EXPLOIT:JS/HANJUANEKDétection qui identifie le code utilisé par le kit d'exploitation Han Juan pour localiser et cibler des vulnérabilités sur les ordinateurs.

6,3 %

3,7 %

2,1 %

2,1 %

1,8 %

4746

0 1 2 3 4 5 6 7 8

0,0

0,5

1,0

1,5

2,0

2,5

3,0

T4T3T2T1

TOP 5 DES MENACES*


*Pourcentage du total des détections de malware signalées au Royaume-Uni en 2015

TROJAN:W97M/MALICIOUSMACRODétection générique qui repère les macros malveillantes intégrées aux pièces jointes des e-mails.



TROJAN-DOWNLOADER:W97M/DRIDEXCheval de Troie bancaire qui vole les données de connexion à des sites de services bancaires en ligne. Il fonctionne notamment avec un fichier contenant un code de macro qui télécharge le cheval de Troie.



ROYAUME-UNI

%

7,1 %

4,5 %

3,1 %

1,8 %

1,6 %

ANNEXE DESCRIPTIONS DES MENACES|

Alpha Crypt Ransomware qui chiffre silencieusement des fichiers sur l'ordinateur de l'internaute, puis lui fournit la clé de déchiffrage nécessaire contre une rançon.

AnglerEK (kit d'exploitation Angler) Détection qui identifie le code utilisé par le kit d'exploitation Angler pour localiser et cibler des vulnérabilités sur les ordinateurs.

Asprox Alias Kuluoz. Malware capable de télécharger et d'exécuter des composants complémentaires. Il peut aussi envoyer du courrier indésirable et a été associé à des activités de fraude publicitaire.

Banker Nom de plusieurs variantes qui essaient de voler des données permettant d'accéder à des sites web de services bancaires et de systèmes de paiement en ligne. Les informations ciblées sont les données de connexion, mots de passe, codes PIN, etc. Elles sont ensuite chargées sur le site du pirate via un formulaire web.

Browlock Famille de ransomware « Gendarmerie » qui prennent le contrôle du système des utilisateurs, prétendument pour possession de contenu illégal. Ils demandent ensuite le paiement d'une « amende » pour rétablir un accès normal.

CloudDuke Outil malveillant qui se compose d'au moins un téléchargeur, un chargeur et deux variantes de backdoor.

CosmicDuke Outil qui repose sur un voleur d'informations. Les pirates peuvent décider de lui adjoindre individuellement plusieurs autres composants pour le doter de fonctions supplémentaires.

CoudW Backdoor qui permet aux pirates de prendre le contrôle des périphériques touchés.

CozyDuke Plateforme malware modulaire qui s'articule autour d'une backdoor. Le serveur C&C peut demander à la backdoor de télécharger et d'exécuter des modules arbitraires.

Crowti Ransomware qui chiffre silencieusement des fichiers sur l'ordinateur de l'internaute, puis lui fournit la clé de déchiffrage nécessaire contre une rançon.

CryptoWall Alias Trojan:W32/Cryptowall. Ransomware qui chiffre silencieusement des fichiers sur l'ordinateur de l'internaute, puis lui fournit la clé de déchiffrage nécessaire contre une rançon.

CTB-Locker Ransomware qui chiffre des fichiers sur l'ordinateur de l'internaute, puis lui fournit la clé de déchiffrage nécessaire contre une rançon.

Dialer Application à caractère pornographique qui affiche constamment une page en plein écran exhortant l'internaute à composer un numéro de téléphone.

Dorkbot Ver qui se propage par le biais de lecteurs amovibles et de réseaux de messagerie instantanée. Il vole des mots de passe, télécharge des malware et contacte un site web pour obtenir des instructions complémentaires.

Downadup/Conficker Vieille famille de vers qui exploitent une vulnérabilité des systèmes Windows non corrigés afin de se démultiplier sur toutes les autres machines accessibles au sein du même réseau. Ils tentent également de télécharger un fichier depuis un site web.

Dridex Cheval de Troie bancaire qui vole les données de connexion à des sites de services bancaires en ligne. Il fonctionne notamment avec un fichier contenant un code de macro qui télécharge le cheval de Troie.

DroidRooter Exploit qui accède aux privilèges racine des périphériques touchés. Il sert aussi d'outil de piratage lorsqu'il est délibérément exécuté, en vue d'une prise de contrôle racine.

Expiro Malware qui infecte des fichiers exécutables et utilise un keylogger pour voler les informations des cartes de crédit.

Exploit:Java/Majava Détection générique qui trouve les exploits ciblant les failles de la plateforme Java.

Exploit:W32/OfficeExploitPayloadCode intégré dans un fichier qui exploite une vulnérabilité Windows. L'ouverture du fichier lance l'exécution automatique de ce code et l'activation du contenu malveillant.

Exploit:OSX/CVE-2009-1237 Détection qui identifie le code d'exploitation utilisé par les pirates qui ciblent la vulnérabilité CVE-2009-1237 sur Mac OS X 10.5.6 et versions antérieures d'Apple.

Exploit:SWF/Salama Détection générique qui trouve les exploits ciblant les failles de Flash Player (Adobe).

Fakeinst Menace qui ressemble au programme d'installation d'une application populaire, mais envoie en fait des SMS à des numéros ou services surfacturés.

4948

FakePDF Malware distribué par le biais de pièces jointes malveillantes de courriers indésirables. Une fois introduit dans un système, le composant cheval de Troie y télécharge des fichiers.

Fareit Malware qui vole les données de connexion aux clients FTP et portefeuilles de crypto-monnaie, ainsi que les mots de passe stockés par les navigateurs web. Il télécharge aussi d'autres malware, dont Zbot.

FiestaEK (kit d'exploitation Fiesta)Détection qui identifie le code utilisé par le kit d'exploitation Fiesta pour localiser et cibler des vulnérabilités sur les ordinateurs.

Flashback Famille d'applications qui, une fois installées sur un ordinateur, y téléchargent un contenu malveillant depuis un site distant, puis modifient des pages web spécifiques dans le navigateur. Certaines variantes peuvent disposer de fonctions ou caractéristiques malveillantes supplémentaires.

Gamarue Alias Andromeda. Malware qui fait entrer les périphériques touchés dans un botnet. Il télécharge et installe souvent aussi d'autres malware.

GeminiDuke Outil qui repose sur un voleur d'information, associé à un chargeur et à plusieurs composants persistants. Il collecte essentiellement des informations relatives à la configuration système de ses victimes.

Gingerbreak Exploit qui vise une vulnérabilité des systèmes Android antérieurs à la version 2.34 en vue d'accéder à leurs privilèges racine.

Ginmaster Cheval de Troie qui vole des informations confidentielles et les communique à un site web distant.

HammerDuke Backdoor toute simple. Son seul vecteur d'infection connu est son téléchargement par CozyDuke sur un système déjà touché où elle s'exécute aussi.

HanJuanEK (kit d'exploitation Han Juan) Détection qui identifie le code utilisé par le kit d'exploitation Han Juan pour localiser et cibler des vulnérabilités sur les ordinateurs.

Ippedo Ver qui se propage par le biais de lecteurs amovibles. Il vole des informations sur les appareils touchés et y télécharge d'autres malware.

Kelihos Malware qui vole les données de connexion aux clients FTP et de messagerie électronique, stockées dans les navigateurs web, etc. Il collecte également les adresses e-mail et agit comme un bot envoyant du courrier indésirable via une infrastructure P2P.

Kilim Famille d'extensions malveillantes de navigateur web qui publient du contenu non autorisé sur le mur Facebook de l'internaute touché.

MagnitudeEK (kit d'exploitation Magnitude) Détection qui identifie le code utilisé par le kit d'exploitation Magnitude pour localiser et cibler des vulnérabilités sur les ordinateurs.

MiniDuke Outil qui se compose de plusieurs téléchargeurs et backdoors. Les pirates lui associent souvent un chargeur spécifique appelé « MiniDuke loader ».

NeutrinoEK (kit d'exploitation Neutrino) Détection qui identifie le code utilisé par le kit d'exploitation Neutrino pour localiser et cibler des vulnérabilités sur les ordinateurs.

Njw0rm Ver qui se propage par le biais de lecteurs amovibles et de pièces jointes à des e-mails. Si la victime exécute un lecteur ou fichier infecté sans le vouloir, il ouvre une backdoor, vole ses mots de passe et contacte un site web pour obtenir des instructions complémentaires.

NuclearEK (kit d'exploitation Nuclear) Détection qui identifie le code utilisé par le kit d'exploitation Nuclear pour localiser et cibler des vulnérabilités sur les ordinateurs.

OnionDuke Outil qui se compose d'au moins un injecteur, un chargeur et un cheval de Troie voleur d'informations, ainsi que de plusieurs variantes modulaires (modules pertinents inclus).

PinchDuke Outil qui se compose de plusieurs chargeurs et repose sur un cheval de Troie voleur d'informations. Ce composant recueille les paramètres système de ses victimes, ainsi que ses données de connexion et des fichiers utilisateur, et communique le tout à un serveur C&C via le protocole HTTP(S).

Pkybot Alias Bublik. Malware qui recueille les informations système des appareils touchés et les communique à son serveur C&C. Il peut télécharger d'autres malware et dispose de la fonction « homme dans le navigateur ».

Ramnit Vieux malware qui intègre tout périphérique touché à un botnet connu pour son implication dans des vols de données de connexion à des comptes et des vols bancaires en ligne.

RevetonRansomware qui se fait passer pour un représentant de la force publique, bloquant l'accès des internautes aux systèmes infectés et exigeant le paiement d'une « amende » pour le rétablir.

RigEK (kit d'exploitation Rig)Détection qui identifie le code utilisé par le kit d'exploitation Rig pour localiser et cibler des vulnérabilités sur les ordinateurs.

Sality Botnet qui intègre tout périphérique touché au groupe de machines infectées que le pirate contrôle à des fins malveillantes.

SeaDuke Backdoor toute simple qui exécute les instructions relayées par un serveur C&C : chargement et téléchargement de fichiers, exécution de commandes système, évaluation de code Python supplémentaire, etc.

Slocker Ransomware qui chiffre des fichiers image, texte et vidéo, puis exige une rançon pour déverrouiller les périphériques et déchiffrer les fichiers.

SmsKey Cheval de Troie qui envoie des SMS à des numéros surfacturés à l'internaute.

SmsPay Cheval de Troie qui envoie des SMS à des numéros surfacturés à l'internaute.

SmsSend Cheval de Troie qui envoie des SMS à des numéros surfacturés à l'internaute.

TeslaCrypt Ransomware qui chiffre silencieusement des fichiers sur l'ordinateur de l'internaute, puis lui fournit la clé de déchiffrage nécessaire contre une rançon.

Trojan.LNK.Gen Détection générique de fichiers .LNK malveillants créés par les malware AutoIT, VBS et Powershell.

Trojan:JS/Redirector Groupe de programmes ou de scripts qui redirigent un internaute vers un site web non désiré à partir du site web qu'il consulte ou souhaite visiter.

Trojan:W32/AutorunDétection qui identifie les fichiers Autorun exécutant automatiquement des malware quand l'internaute touché accède à un support amovible (si la fonction de lecture automatique est activée).

Trojan:W97M/MaliciousMacro.GEN Détection générique qui repère les macros malveillantes intégrées aux pièces jointes des e-mails.

TroldeshRansomware qui chiffre silencieusement des fichiers sur l'ordinateur de l'internaute, puis lui fournit la clé de déchiffrage nécessaire contre une rançon.

UnityGhostNom d'applications iOS qui intègrent un code introduit au moment de leur création avec une version malveillante de l'outil de développement Unity.

Urausy Ransomware qui se fait passer pour un représentant de la force publique, bloquant l'accès des internautes aux systèmes infectés et exigeant le paiement d'une « amende » pour le rétablir.

Virtob Alias Virut. Famille de virus qui contaminent les fichiers portant l'extension .EXE et .SCR. Tous ces virus ouvrent aussi une backdoor connectée à un canal IRC permettant aux pirates d'accéder aux ordinateurs touchés sans le consentement de leurs propriétaires.

WormLinkDétection générique qui identifie les fichiers de raccourcis malveillants (.LNK) intégrés à un document exploitant la vulnérabilité CVE-2010-2568 de différentes versions Windows.

Worm:W32/Kataja Détection générique qui identifie les fichiers de raccourcis utilisés par certains vers USB pour faire en sorte que les internautes exécutent un code malveillant.

WormLink Détection qui identifie les fichiers de raccourcis intégrés à des documents exploitant une vulnérabilité Windows.

XcodeGhost Nom d'applications iOS qui intègrent un code introduit au moment de leur création avec une version malveillante du programme officiel Xcode.

Zbot Alias Trojan:W32/Zbot, Zeus ou Wsnpoem. Grande famille de malware voleurs d'informations.

Rapport des menaces en 2015 par F-Secure

Software

Transcript of Rapport des menaces en 2015 par F-Secure