Cyberveille relative au secteur de l'éducation

CYBERMENACES DANS LE SECTEUR DE L'ÉDUCATION

Le secteur de l'éducation est sous la menace des types d'attaquants suivants :

  • Certains groupes APT (Advanced Persistent Threat)1 tentent d'accéder à des données de propriété intellectuelle sensibles, par exemple dans des centres de recherche universitaires, à des fins d'espionnage industriel.
  • Les groupes APT cherchent à exploiter l'infrastructure réseau d'un établissement d'enseignement supérieur comme rampe de lancement d'attaques vers des cibles d'autres secteurs. Ils espèrent ainsi profiter de la réputation de ces établissements pour n'éveiller aucun soupçon.
  • Les cybercriminels aux motivations d'ordre financier cherchent à subtiliser des informations personnelles et financières sensibles aux étudiants, au corps professoral et au reste du personnel pour en retirer ensuite un profit.
  • Les hacktivistes tentent de défigurer des sites Web ou de perturber leur fonctionnement en signe de protestation ou de soutien à une cause particulière.
education cyber threat intelligence

Horizon des menaces & perspectives pour le secteur

Les réseaux des établissements d'enseignement regorgent de données de grande valeur. De même, leur infrastructure réseau peut servir de rampe de lancement d'attaques vers des cibles d'autres secteurs. Le secteur de l'enseignement restera donc en proie à des cyberattaques en tous genres. Les réseaux des universités sont particulièrement difficiles à sécuriser de façon efficace. À cela plusieurs raisons : leur taille, le nombre d'utilisateurs et l'ouverture d'accès et de partages d'informations tant par des utilisateurs internes qu'externes. D'après nos prévisions, les facteurs ci-dessous sont susceptibles d'intensifier les menaces dirigées contre le secteur :

  • La participation à des programmes de recherche à fort potentiel économique ou à des projets sensibles réalisés pour ou en association avec des pouvoirs publics augmente le risque d'attaques par des groupes APT en quête de renseignements dont leur gouvernement commanditaire ou les entreprises nationales pourraient tirer avantage.
  • L'association avec des universitaires ou des dissidents de premier plan risque également d'augmenter le nombre d'actions menées par des groupes APT pour récolter des données permettant à leur gouvernement commanditaire de surveiller les activités de la personne en question, tout en entrant dans le secret des discussions politiques des milieux universitaires.
  • Les établissements perçus comme une cible symbolique ou à forte visibilité peuvent faire l'objet d'attaques par des hacktivistes ou des groupes APT cherchant à en perturber le site Web ou le réseau à des fins politiques.
  • L'implication des universités dans des polémiques peut inciter les hacktivistes à mener des attaques visant à discréditer l'établissement pris pour cible, en signe de protestation. Ils peuvent par exemple chercher à perturber l'accès au site Web, défigurer les pages Web, ou dérober et divulguer des informations sensibles.
Nous avons observé au moins huit groupes responsables d'attaques avancées visant des entreprises des sous-secteurs d'activité suivants :
  • Enseignement supérieur & universitaire
  • Logiciels éducatifs & de formation continue
  • Laboratoires de recherche
Types de données volées à des établissements d'enseignement
  • Communications sur les activités
  • Documents administratifs
  • Évaluations du personnel
  • Documents financiers
  • Documents relatifs aux bourses d'études et subventions
  • Recherche & actualité de l'éducation
  • Factures
  • Documents marketing
  • Comptes rendus de réunions
  • Informations d'identification personnelle
  • Programmes & initiatives
  • Bulletins d'informations publics

Étude de cas : Des pirates basés en Chine ciblent des chercheurs universitaires

FireEye a enquêté sur deux intrusions au cours desquelles un groupe APT basé en Chine avait compromis deux universités américaines. Ce groupe avait accédé à l'un des établissements en chargeant des webshells malveillants sur une page de chargement non authentifiée et hébergée sur l'un des serveurs Web de l'université. Une fois sur le réseau de l'établissement, les pirates ont étendu leur accès et obtenu des identifiants permettant d'accéder à un serveur Web partagé par plusieurs universités. Ils ont ensuite utilisé leur accès à ce serveur pour compromettre le réseau de la deuxième université. D'après nos observations, les pirates semblaient s'intéresser aux institutions de recherche et programmes académiques axés sur la Chine.

À l'assaut de la tour d'ivoire

Découvrez pourquoi les cyberattaquants ciblent le secteur de l'enseignement supérieur, et quelles mesures de protection les universités peuvent adopter.

Télécharger le livre blanc

Cybermenaces dans le secteur de l'éducation

Découvrez les cybermenaces ciblant le secteur de l'éducation.

Lire le rapport

education malware and crimeware

PRINCIPAUX MALWARES DÉTECTÉS

FireEye a constaté une récurrence de certaines familles de malwares utilisées pour compromettre les établissements d'enseignement. En voici l'inventaire :

SOGU (ou Kaba, ou PlugX) Backdoor (porte dérobée) capable d'exécuter une série de fonctions : chargement et téléchargement de fichiers, exécution de processus arbitraires, accès aux systèmes de fichiers, au registre et à la configuration des services, accès shell distant, et implémentation d'un protocole personnalisé de type VNC/RDP pour octroyer au serveur de commande et contrôle (CnC) un accès graphique à l'ordinateur infecté.
WITCHCOVEN Script de profilage conçu pour obtenir des informations sur les systèmes d'exploitation, les navigateurs et les applications utilisés par les visiteurs de sites Web. Nous soupçonnons les auteurs de menaces APT d'utiliser ces scripts à des fins de footprinting — une technique de récolte d'informations utilisée pour établir le profil des systèmes informatiques et des entreprises auxquelles ils appartiennent.
Gh0stRAT Outil d'accès à distance (RAT) dérivé de code source disponible sur Internet. Il peut réaliser des captures audio et d'écran, activer une webcam, lister et arrêter des processus, ouvrir un shell, effacer des journaux d'événements, ainsi que créer, manipuler, supprimer, lancer et transférer des fichiers.
SPYNET Outil d'administration à distance (RAT) disponible sur Internet, SpyNet permet aux attaquants d'interagir avec un système compromis via un shell distant, charger et télécharger des fichiers, interagir avec le registre, et démarrer et arrêter des services et processus. Il est capable de capturer des images du bureau de l'ordinateur, de réaliser des enregistrements via une webcam et des entrées audio, d'extraire des mots de passe enregistrés et de transformer un système compromis en serveur proxy. SpyNet intègre également une fonctionnalité d'enregistrement des saisies clavier et des mécanismes de protection contre le débogage et les machines virtuelles.
PANDORA Backdoor (porte dérobée) multithread qui applique plusieurs techniques anti-analyses, tout en étant capable de communiquer via les protocoles UDP et TCP. Pandora s'implante de manière durable en générant plusieurs copies de son propre code et en remplaçant les exécutables répertoriés dans la clé de registre « Run » du système. Cette backdoor est capable d'exécuter une série de fonctions : enregistrement de saisies clavier, captures d'écran, manipulation et infection de fichiers, mise à jour automatique, téléchargement et exécution d'autres fichiers. Elle peut en outre permettre à l'attaquant de contrôler le système à distance, mais ne s'exécute pas sur les systèmes dotés de certains logiciels antivirus chinois très répandus.

PRINCIPAUX CRIMEWARES DÉTECTÉS

D'après le serveur sinkhole et les données partagées dynamiquement par FireEye, les variantes de crimeware les plus fréquemment détectées dans le secteur de l'enseignement sont les suivantes :

FAREIT (ou Pony Loader et InfoStealer) Cheval de Troie spécialisé dans le vol d'informations, pouvant également forcer les systèmes infectés à participer à des attaques par déni de service distribué (DDoS) et à télécharger d'autres types de malwares.
Zeus (ou Zbot, Citadel, Gameover) Famille de chevaux de Troie principalement conçus pour le vol d'identifiants bancaires. La richesse fonctionnelle de Zeus lui permet notamment d'exécuter des commandes shell à distance.
Cryptowall (ou Crowti) Ransomware qui crypte les fichiers présents sur le terminal de la victime et utilise TOR (The Onion Router) pour les communications de commande et contrôle (CnC).
Simda Cheval de Troie polyvalent capable de voler des identifiants, d'infecter d'autres fichiers, de télécharger des malwares et d'ouvrir une backdoor sur les systèmes infectés.
TREEMZ Cheval de Troie capable d'enregistrer les saisies clavier. Il peut être dissimulé sous la forme d'une mise à jour d'un jeu populaire en ligne.

1 Les groupes APT sont réputés pour recevoir d'un État commanditaire l'ordre de dérober des informations ou de mener des attaques contre les réseaux. Tenaces et déterminés, ils sont capables d'employer une grande variété d'outils et de tactiques.