Cyberveille relative aux secteurs de l'aérospatiale et de la défense

Cybermenaces dans les secteurs de l'aérospatiale et de la défense

Les entreprises des secteurs de l'aérospatiale et de la défense sont sous la menace de groupes APT (Advanced Persistent Threat) qui poursuivent les objectifs suivants au nom d'un État commanditaire :

  • Vol du capital intellectuel afin de développer les capacités nationales dans le domaine de l'aérospatiale et de la défense, d'élaborer des contre-mesures militaires et de produire des technologies vendues sur le marché mondial de l'armement
  • Collecte de renseignements permettant de surveiller, voire d'infiltrer et de subvertir les systèmes et capacités de défense d'États rivaux
aerospace cyber threats

Horizon des menaces & perspectives pour le secteur

Tout laisse à penser que les groupes APT continueront de viser les secteurs de la défense et de l'aérospatiale pour faire main basse sur des informations susceptibles de procurer un avantage d'ordre militaire et économique à leur commanditaire. Les facteurs ci-dessous sont susceptibles d'avoir une influence sur les futures menaces dirigées contre ces secteurs :

  • La course au progrès et à l'innovation engagée par les États sur de nouveaux armements (drones, armes hypersoniques ou à énergie dirigée, etc.) expose tout le secteur à de multiples menaces.
  • Les attaquants peuvent cibler des technologies de défense dans le but de neutraliser les capacités d'un pays ennemi ou de perturber ses opérations militaires sur le terrain. Rien de bien difficile à cela : une fois les technologies critiques identifiées, il suffit de rechercher les vulnérabilités présentes sur ces plates-formes.
  • La croissance du marché mondial de l'armement et de la défense peut motiver les États à recourir au cyberespionnage pour limiter leurs dépenses en R&D, cassant ainsi les prix sur le marché pour gagner en compétitivité.
  • La menace augmente également pour les partenaires externes de la chaîne logistique de l'aérospatiale et de la défense. En effet, les attaquants ciblent des intervenants de la chaîne logistique qu'ils utilisent alors comme porte d'entrée vers les réseaux d'autres contractants du secteur de la défense.
Nous avons observé au moins 24 groupes responsables d'attaques avancées visant des entreprises appartenant aux sous-secteurs d'activité ci-dessous :
  • Grossistes en pièces et composants destinés au secteur de la défense & de l'aérospatiale
  • Fabrication de composants & de produits aérospatiaux
  • Fabrication de pièces & de moteurs d'avions
  • Fabrication d'engins spatiaux & de missiles guidés
  • Fabrication de systèmes informatiques militaires & industriels
Types de données volées à des entreprises des secteurs de l'aérospatiale & de la défense
  • Informations budgétaires
  • Communications métiers
  • Rapports & cahiers des charges relatifs à la maintenance des équipements
  • Annuaires d'entreprise & organigrammes
  • Informations d'identification personnelle
  • Plans et schémas de produits
  • Processus de production
  • Informations propriétaires générales sur les produits ou services
  • Rapports de recherche
  • Procédures de sécurité
  • Fichiers journaux de systèmes
  • Résultats & rapports de tests

Étude de cas : Des groupes APT compromettent des entreprises du secteur de l'aérospatiale et de la défense

FireEye a effectué des diagnostics de menaces auprès de nombreuses entreprises de l'aérospatiale et de la défense. Ces entreprises ont probablement été prises pour cible par des groupes APT basés en Chine. Leur objectif : procurer un avantage concurrentiel à leurs entreprises nationales ou favoriser la modernisation de l'appareil militaire chinois.

En effet, un groupe APT basé en Chine est parvenu à compromettre au moins sept systèmes de l'environnement d'un constructeur de systèmes de défense. Ce groupe a réussi à voler des documents sur les normes de communication après s'être introduit dans le réseau par le biais d'e-mails de spear phishing. Les adresses e-mail des collaborateurs ciblés figuraient dans des documents publics. Il est donc probable que les attaquants aient utilisé des ressources disponibles sur Internet pour mener les opérations de reconnaissance nécessaires à la préparation de l'attaque.

Un autre groupe APT basé en Chine est parvenu pendant plusieurs années à compromettre plus de 300 systèmes d’une entreprise de l'aérospatiale. Lors du diagnostic de la violation de données, nous avons découvert que ce groupe se concentrait sur l'appropriation de données sensibles. Il avait auparavant effectué une reconnaissance des systèmes ciblés afin d'identifier les répertoires spécifiques les plus susceptibles de contenir ce type de données.

cyber threats to aerospace industry

LES 5 PRINCIPALES FAMILLES DE MALWARE

FireEye a constaté une récurrence de certaines familles de malwares utilisées pour compromettre des entreprises des secteurs de l'aérospatiale et de la défense. En voici l'inventaire :

Gh0stRAT Outil d'administration à distance (RAT) dérivé de code source disponible sur Internet. Il peut réaliser des captures audio et d'écran, activer une webcam, lister et arrêter des processus, ouvrir un shell, effacer des journaux d'événements, ainsi que créer, manipuler, supprimer, lancer et transférer des fichiers.
PcClient Backdoor (porte dérobée) permettant à un attaquant d'exécuter des commandes via une infrastructure de commande et contrôle (CnC). Elle peut également collecter des données sensibles, notamment des saisies clavier, avant de les enregistrer dans un fichier local. La backdoor est généralement associé à un rootkit, ce qui complique sa détection et sa suppression une fois le système compromis.
ZXSHHELL (ou VIPER) Backdoor (porte dérobée) pouvant être téléchargée sur Internet, en particulier sur les sites de piratage chinois. Ce malware offre de nombreuses fonctionnalités : lancement de scans de ports, enregistrement de saisies clavier, réalisation de captures d'écran, installation d'un proxy HTTP ou SOCKS, lancement d'un shell de commande inversé, déclenchement d'attaques par requêtes de synchronisation (SYN flood) et transfert/suppression/exécution de fichiers. La version de cet outil disponible sur Internet est dotée d'une interface graphique permettant à l'attaquant d'interagir avec les backdoors installées sur les systèmes compromis.
NS01 (ou Mutter) Malware de type porte dérobée (backdoor) pouvant être distribué via une pièce jointe malveillante. Outre sa capacité à communiquer via un proxy, il peut exécuter une commande shell, charger un fichier sur le système compromis et télécharger des fichiers à partir du système compromis.
WITCHCOVEN Script de profilage conçu pour obtenir des informations sur les systèmes d'exploitation, les navigateurs et les applications utilisés par les visiteurs de sites Web. Nous soupçonnons les auteurs de menaces APT d'utiliser ces scripts à des fins de footprinting — une technique de récolte d'informations utilisée pour établir le profil des systèmes informatiques et des entreprises qui les exploitent.

LES 5 PRINCIPALES FAMILLES DE CRIMEWARE

D'après le serveur sinkhole et les données partagées dynamiquement par FireEye, les variantes de crimeware les plus fréquemment détectées dans les secteurs de l'aérospatiale et de la défense sont les suivantes :

Upatre Programme de téléchargement de chevaux de Troie qui s'introduit généralement via un e-mail de spam, un téléchargement drive-by ou un exploit. Upatre télécharge un ou plusieurs autres types de malwares sur le système infecté. Selon nos observations, Upatre distribue un large éventail de malwares, notamment Zbot, Dyre, Rovnix, CryptoLocker et Necurs.
Comame Cheval de Troie capable d'octroyer un accès distant à un ordinateur. Il peut enregistrer les saisies clavier, télécharger des malwares supplémentaires, capturer les informations système et les listes de fichiers, et manipuler le navigateur Web à des fins de fraude aux clics. Ce cheval de Troie peut également s'implanter dans un système de manière durable en modifiant ou en créant une entrée de registre.
HOUDINI (ou H-Worm) Outil d'administration à distance (RAT) VBS qui communique via HTTP. Il s'agit généralement de communiquer les informations sur le système compromis figurant dans le champ User-Agent de l'en-tête HTTP (nom d'hôte du système, système d'exploitation, nom d'utilisateur, etc). Dans certains cas, le fichier VBS est masqué par plusieurs méthodes de dissimulation, dont des codages Base64 personnalisés. Cette backdoor prend en charge plusieurs commandes qui le dotent de fonctionnalités de backdoor traditionnelles, telles que l'exécution en ligne de commande, le téléchargement et l'exécution de programmes, et le vol de données.
ANDROMEDA (ou Gamarue) Cheval de Troie polyvalent qui peut être utilisé comme enregistreur de saisies clavier, outil de collecte d'informations de formulaire ou injecteur pour d'autres malwares.
SERVSTART (ou Nitol) Cheval de Troie qui s'installe sous la forme d'un fichier exécutable binaire ou d'une DLL et s'enregistre en tant que service. Ce service permet à un utilisateur distant de réaliser diverses actions : connexion à un serveur distant, téléchargement et exécution/installation d'autres fichiers malveillants, arrêt ou redémarrage du système, et lancement d’attaques de déni de service distribué (DDoS). Le malware est capable de communiquer via des connexions TCP ou UDP, et installe un mutex pour s'assurer qu'un seul exemplaire du logiciel est installé. Il peut également se mettre à jour ou se désinstaller à partir d'un système.

1 Les groupes APT sont réputés pour recevoir d'un État commanditaire l'ordre de dérober des informations ou de mener des attaques contre les réseaux. Tenaces et déterminés, ils sont capables d'employer une grande variété d'outils et de tactiques.