Attaques ciblées, apprenez à distinguer leurs 3 finalités pour mieux y répondre

Le point commun des menaces informatiques consiste aujourd'hui pour les pirates à percer les défenses de l'entreprise et à s’installer au coeur de l'infrastructure. Toutes les attaques ciblées commencent de la même manière : après une phase de reconnaissance, une première attaque permet de percer les défenses de l’organisation visée. Il peut s’agit d’emails piégés (le fameux « spear phishing »), de l’utilisation d’une faille dans un site web, du rebond via un prestataire… Dans tous les cas, les attaquants commencent par prendre le contrôle d’un ordinateur dans le réseau de l’organisation ciblée. Une fois cette prise de contrôle initiale réalisée, commence alors les opérations de rebonds internes pour augmenter la portée de l’attaque et/ou pour atteindre sa cible. On assiste souvent alors à une compromission de comptes d’administrateurs du domaine qui donnent accès à une très grande partie du SI. Une fois ces droits obtenus, l’attaquant peut alors commencer les opérations pour lesquelles il a lancé initialement l’attaque.

Finalité n°1 : voler de l'information et espionner

Il s’agit de la finalité la plus communément rencontrée depuis 2011 et les révélations de grandes attaques sur la France (Areva, Ministère des Finances…). Des attaques similaires ont toujours lieu avec par exemple très récemment celle qui a ciblée l’assureur Anthem aux Etats-Unis. Il s’agit alors pour les attaquants de profiter des droits obtenus dans le système d’information pour y prélever des données et les exfiltrer. Les attaquants ciblent des fonctions métiers spécifiques, des serveurs de fichiers, des postes de travail sensibles, ou encore les boites de messagerie. Les équipes d’attaque essaie alors de se faire le plus discret possible et « siphonne » discrètement au fil de l’eau les données de l’entreprise. Pour détecter ses attaques, il est nécessaire d’augmenter la visibilité des flux échanges sur les réseaux et d’analyser des accès réalisés dans le SI. Une augmentation anormale de trafic, des tentatives d’accès « linéaires » à un grand nombre de répertoires ou de données sont des bons critères. Des actions d’administration suspicieuses sont aussi à rechercher dans les historiques.

Finalité n°2 : détruire les systèmes et/ou rendre les données inaccessibles

Sony Pictures a été la victime la plus emblématique de ce type d’attaque. Une fois le contrôle du SI obtenu par les attaquants, ces derniers distribuent un code malveillant qui va effacer les données des postes de travail (malware de type « Wiper »). Un autre scénario peut être le chiffrement des données de l’organisation et l’extorsion financière pour avoir les clés de déchiffrement (malware de type ransomware). Il est nécessaire de détecter rapidement ces attaques pour éviter que l’attaque ne portent ces fruits. Une surveillance très en amont, par exemple des flux de messagerie ou d’accès à Internet peut aider à déceler des campagnes massives d’envoi de malware. L’accès aux systèmes de télédistribution, la création ou l’utilisation frauduleuse des comptes d’administrateurs sont aussi des signes avant-coureurs.

Finalité n°3 : réaliser des fraudes métiers

Cette finalité a été mise en avant récemment par les révélations par FoxIT, le CERT-GIB et Kasperski sur les attaques Anunak/Carbanak. Il s’agit pour les attaquants d’accéder à des systèmes métiers et de réaliser des opérations frauduleuses comme réaliser des virements, désactiver les protections anti-fraudes... Ils identifient dans l’organisation les employés qui ont accès aux systèmes métiers ciblées puis infectent leur poste de travail. Ces derniers ont bien souvent une connexion simultanée entre Internet et les systèmes sensibles. Les attaquants sont prêts à attendre et à apprendre en observant les actions légitimes des employés comme l’ont montrée les derniers acas ou les attaquants « filmait » le contenu des écrans des employés ciblés. Puis les attaquants démarrent progressivement leurs méfaits en imitant les actions légitimes des employés pour ne pas être détecté. Pour détecter ces attaques, il est nécessaire de mettre « sous surveillance » les postes métiers à même de réaliser des actions à fort impact. L’ajout de double niveau de validation ou d’authentification forte, par exemple mixant un mot de passe et de la biométrie obligeant l’employé à être physiquement présent, sont aussi des solutions possibles.

Des actions transverses pour se protéger

On ne le répètera jamais assez mais assurer une bonne hygiène du système d’information est essentielle. La plupart du temps, les attaques réussissent initialement car les postes de travail et les infrastructures serveurs ne sont pas à jour, les mots de passe sont partagés, les droits d’accès ne sont jamais revus, les systèmes n’ont pas été audités avant leur mise en production et les employés assurant des fonctions sensibles (administration du SI, antifraude, virements importants…) accèdent simultanément et sur la même machine aux systèmes sensibles et à Internet. Il existe pourtant des solutions simples et peu couteuses pour remédier à ses problèmes mais cela demande de la rigueur et une attention sans faille. Ces actions permettent de réduire grandement la facilité des attaques et d’en augmenter le coût de réalisation.
 
Mais il faut aussi être réaliste et face à des attaquants déterminés et des moyens importants, les protections évoquées ne suffisent pas. Il faut donc renforcer les actions de détection et de réaction. Organiser des exercices de crises sur les différents scénarios évoqués est un « must have ». Ils permettent de voir concrètement quel est le degré de préparation de l’organisation et ils mettent souvent en lumière des manques sur les capacités de détection des attaques. Ces exercices sont surtout un bon moyen pour se mobiliser, y compris au plus haut niveau, face aux attaques ciblées !