les étapes d`une attaque en apt

LES ÉTAPES D’UNE ATTAQUE
EN APT
par Aurélien CARBONNEL
Master 2 sciences politiques spécialité Management du Risque
Université Paris Ouest Nanterre-La Défense
Juin 2012
PRESENTATION
Les récentes cyberattaques de grande ampleur qui ont visé le Ministère de l’Economie et des Finances et
le géant japonais SONY sont autant d’évènements qui nous montrent que la menace des Advanced
Persistent Threats (APT) est réelle et que, contrairement aux idées reçues, les APT ciblent un grand
nombre d’organisations, qu’elles soient privées ou publiques.
Les APT peuvent se définir comme des attaques commanditées, ciblées qui exploitent du code malveillant
personnalisé implanté sur des ordinateurs de l’organisation cible. Elles sont l’œuvre de cybercriminels de
plus en plus qualifiés et motivés, bien financés et nécessitent une implication humaine forte et
coordonnée.
Elles sont destinées à infiltrer une victime particulière, à extraire une ou des informations déterminées et à
permettre un contrôle à distance persistant sur les machines exploitées.
L’objectif du présent document est de définir les différentes étapes d’une attaque en APT.
LA RECONNAISSANCE ET LA PRISE DE RENSEIGNEMENTS SUR
LA CIBLE
La première étape pour le cybercriminel est de réunir un maximum d’informations précises sur
l’organisation cible. La reconnaissance peut se faire en direct (entendons par là un face à face avec une
personne), par téléphone ou encore via internet.
Il s’agit ici de reconstituer l’organigramme de l’organisation visée, notamment au moyen d’outils IT, grâce
auxquels on va récupérer l’ensemble des documents bureautiques de l’entreprise qui sont disponibles
depuis les moteurs de recherche web et en extraire ce qu’on appelle les métadonnées qui comprennent
notamment les chemins des volumes de stockage, le nom des imprimantes, les noms et versions des
logiciels utilisés et les chemins des fichiers.
Il existe pour cela une multitude d’outils, la plupart téléchargeables depuis internet, qui permettent de
cartographier l’organisation, ses systèmes, les technologies qu’elle utilise et ses collaborateurs à partir de
données publiques, comme Maltego.
L’ensemble de ces renseignements va permettre, d’une part d’identifier les vulnérabilités que pourront
exploiter les gens à l’origine de l’attaque et d’autre part, permettre à ces mêmes personnes d’établir un
plan pour masquer leurs attaques, l’objectif étant que l’extraction puisse perdurer.
Un livre blanc
1/4
LA PHASE D’INTRUSION ET LA CRÉATION D’UNE BACKDOOR
Après avoir identifié les faiblesses de l’organisation ciblée, les pirates vont avoir pour but de prendre le
contrôle de quelques postes de travail dans l’entreprise grâce à de l’ingénierie sociale envers ses salariés.
Pour ce faire, ils utilisent généralement le phishing, envoi de courriel malveillant contenant un lien vers un
site web ou une pièce jointe type PDF qui, lors de son ouverture par le salarié crédule, installe un code
malveillant.
Cette méthode présente des avantages et des inconvénients : certes cette attaque est assez simple et
peu coûteuse mais le problème réside dans le fait qu’en raison de leur trop grande simplicité les outils
de prévention d’intrusions peuvent les détecter.
Il existe d’autres possibilités moins connues d’attaques dirigées contre des vulnérabilités mais elles sont
extrêmement chères. Aussi, seuls certains cybercriminels qui disposent de moyens financiers conséquents
peuvent les mettre en œuvre.
Généralement, les cybercriminels vont créer une porte dérobée (backdoor) qui est une fonctionnalité
inconnue de l’utilisateur légitime donnant un accès secret au logiciel. Cette backdoor a pour objectif de
permettre au cybercriminel de s’introduire à nouveau au cœur de l’ordinateur sans avoir pour cela
besoin d’exploiter une fois encore la faille via laquelle il a pu obtenir l’accès initial.
En effet, on peut imaginer que la faille initiale finira par être démasquée or on l’a dit, l’extraction doit
pouvoir perdurer. Aussi, en créant cette backdoor, le cybercriminel va pouvoir augmenter ses privilèges
sur les machines et s’installer plus solidement sur le système en rendant le code malveillant à la
fois transparent et persistant.
Par ailleurs, le pirate pourra aussi se servir de la machine infectée appelée « zombie » comme tremplin
pour le lancement d’attaques sur d’autres ordinateurs ou serveurs.
LA DÉCOUVERTE DU RESEAU INTERNE
Une fois des postes de travail hameçonnés, le cybercriminel à l’origine de l’APT va entreprendre une
découverte du réseau en profondeur à travers l’intranet de l’entreprise, télécommandée via une
communication chiffrée véhiculée par la connexion internet externe de l’organisme ciblé. Suivant le
profil des utilisateurs hameçonnés il sera plus ou moins rapide d’atteindre le ou les serveur(s) de données
ciblées.
Dans l’éventualité où les postes de travail contrôlés ne permettent pas d’atteindre le ou les serveur(s) de
données ciblées, la phase d’intrusion est réitérée jusqu’à ce qu’elle permette de contrôler un poste
permettant d’avoir accès au serveur des données ciblées. Une fois que cela est fait, l’attaque APT va
utiliser les vulnérabilités pour déposer le code malveillant d’extraction d’information.
L’EXTRACTION DE DONNÉES ET LA MAINTENANCE
Une fois les données ciblées atteintes, le pirate va devoir installer des outils lui permettant d’archiver
et de compresser les données à extraire.
Afin de permettre à l’attaque de perdurer, le pirate va accorder un soin particulier à la réalisation du code
malveillant d’extraction des informations car le but est qu’il fonctionne aussi longtemps que possible sans
être détecté par les outils de sécurité afin de pouvoir exfiltrer de nouveaux documents ou exfiltrer les
mises à jour du document ciblé au début. Dans cette optique, le code doit être modifiable à distance
afin de muter pour rester non détectable lors de l’installation de nouveaux anti-virus. Il devra
par ailleurs être installé en mode persistant avec un niveau privilège élevé. Généralement l’extraction se
fera via HTTP ou HTTPS, mais il arrive parfois que ces extractions passent aussi par les protocoles de
messageries instantanées.
L’EXEMPLE DE LA CYBERATTAQUE CONTRE BERCY
Le lundi 7 mars 2011, le Ministère de l’Economie et des Finances annonce avoir fait l’objet d’une « attaque
informatique sans précédent » qui aurait commencé en décembre 2010. L’objectif de cette attaque était
de collecter des informations portant sur la présidence française du G20 et sur la politique économique
extérieure de la France.
Cette cyberattaque en APT est un modèle du genre à la fois simple et efficace. Après s’être renseigné
sur sa victime, le cybercriminel a envoyé un mail contenant un cheval de Troie en pièce jointe sous format
Un livre blanc
2/4
PDF. Cet e-mail aurait été envoyé par une personne de confiance dont l’identité aurait été usurpée et
accompagné d’un message du type « regardez ce document, il pourrait vous intéresser ».
Lors de l’ouverture du fichier PDF, une faille logicielle a été utilisée afin d’exécuter un script à distance sur
l’ordinateur de la victime. Une fois le contrôle de la machine effectif, diverses informations ont été
récoltées et les activités de l’utilisateur ont été observées.
Selon les éléments de l’enquête communiqués, c’est via le protocole HTTP que les données auraient été
extraites et ce vers le continent asiatique. Cependant, vu l’ampleur de l’attaque, on peut supposer que les
cybercriminels responsables ont pu masquer leurs traces et identités en utilisant des ordinateurs euxmêmes piratés (appelés « zombies ») à différents endroits du globe.
CONCLUSION
Fin janvier 2011 la société Mandiant spécialisée dans les prestations de sécurité informatique a publié un
portrait-robot des étapes clés d’une attaque APT :
-
Reconnaissance de l'écosystème de la victime (scan, ingénierie sociale, ...)
-
Intrusion furtive dans les systèmes cibles (envoi de mail ciblés avec cheval de Troie)
-
Mise en place d'une backdoor sur le réseau pénétré
-
Obtention de droits d'accès vers d'autres systèmes internes
-
Installation d'un ensemble d'outillage nécessaire à la furtivité, l'extraction de données
-
Obtention de privilèges plus importants
-
Extraction furtive de données avec utilisation de canaux licites
-
Adaptation à l'écosystème et ses détecteurs pour préserver les acquis de l'attaquant
Pour conclure, la lutte contre les APT nécessite une approche transversale et globale. D’une part
des mesures de prévention doivent être prises notamment en matière de sensibilisation des utilisateurs
aux risques liés aux pièces jointes. D’autre part, il faut travailler sur des outils de détection novateurs
afin d’identifier aussi rapidement que possible les comportements anormaux du système d’information.
GLOSSAIRE
APT
Advanced Persistent Threats
HTTP
HyperText Transfer Protocol
HTTPS
HyperText Transfer Protocol Secure
Maltego
Outil d’exploration de données (data mining) qui permet de trouver facilement, et de
manière visuelle, des informations dont l’accès est libre et autorisé
Outils IT
outils en lien avec l’informatique (Information Technology)
PDF
Portable Document Format
Phishing
technique utilisée par les fraudeurs pour obtenir des renseignements personnels dans le but
de perpétrer une usurpation d’identité, il s’agit de faire croire à la victime qu’elle s’adresse à
un tiers de confiance pour lui soutirer des informations
BIBLIOGRAPHIE
Rapport “M- Trends 2010” de la société Mandiant
Article « APT : des attaques quasi-indétectables » par Thierry Lévy- Abégnoli
Article « Les menaces persistantes avancées (APT), épouvantail ou vrai danger ? » par Graeme Nash
Article « Cyber-attaque contre Bercy : premier bilan » sur le site Secu(insight).fr
Article « Cyber-Espionnage/ Advance Peristent Threat (APT) : Science-fiction ou réalité ? par Cyrille
Badeau
Un livre blanc
3/4
A PROPOS DE L’AUTEUR
Titulaire d’une Licence de droit français et de droit anglo-américain, d’un Master de droit international,
Aurélien Carbonnel termine fin septembre 2012 son stage de fin d’études au sein du service
Sécurité/Sûreté/Prévention du Crédit Agricole S.A. dans le cadre d’un Master 2 de sciences politiques
spécialité Management du Risque.
Membre du CDSE Junior, passionné par les nouvelles technologies, il est particulièrement sensible aux
risques et menaces liés à la cybercriminalité, notamment en matière de sécurité de l’information au sein
des entreprises.
Souhaitant associer son cursus universitaire et sa passion, il intègrera en 2013 le Mastère de Gestion des
Risques sur les Territoires de l’Ecole Internationale des Sciences du Traitement de l’Information (EISTI) en
contrat de professionnalisation au sein du département Contrôle Interne et Evaluation des Risques de la
branche Supply Marketing du groupe Total à la Défense (92).
Les idées émises dans ce livre blanc n’engagent que la responsabilité de leurs auteurs et pas celle de Forum ATENA.
La reproduction et/ou la représentation sur tous supports de cet ouvrage, intégralement ou partiellement est autorisée à
la condition d'en citer la source comme suit :
© Forum ATENA 2012 – Les étapes d’une attaque en APT
Licence Creative Commons
-
Paternité
Pas d’utilisation commerciale
Pas de modifications
L'utilisation à but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites
sans la permission écrite de Forum ATENA.
Un livre blanc
4/4