Cyberveille relative aux secteurs du divertissement et des médias

Cybermenaces dans les secteurs du divertissement et des médias

Les entreprises des secteurs du divertissement et des médias sont sous la menace des types d'attaquants suivants :

  • Les groupes APT (Advanced Persistent Threat)1 agissent pour le compte d'un État commanditaire qui tente de contrôler son image en volant des informations liées à des activités de reportage, notamment sur le personnel impliqué, les sources utilisées, les partenariats locaux, les communiqués de presse à paraître, l'activité générale dans le pays et les domaines de recherche spécifiques des journalistes.
  • D'autres groupes APT pratiquent l'espionnage économique en vue de se procurer des informations de diverses natures : fusions et acquisitions, technologies ou processus de production, et capital créatif et artistique. Elles comptent ainsi donner un avantage concurrentiel aux groupes de médias et de divertissement du pays commanditaire.
  • Les hacktivistes et groupes APT peuvent tenter de perturber les activités d'une entreprise pour mettre leur cause en avant, contrôler le contenu journalistique ou empêcher la diffusion de contenu qu'ils estiment politiquement sensible ou polémique. Les groupes APT peuvent tenter de masquer l'identité du gouvernement commanditaire en se faisant passer pour un groupe d'hacktivistes indépendant lorsqu'ils prennent une entreprise pour cible.
  • Les cybercriminels ciblent l'industrie des jeux et du gaming à des fins lucratives en volant des identifiants de compte, des codes d'activation, des « actifs virtuels » dans les jeux en ligne, ainsi que des informations d'identification personnelle (PII)
entertainment and media cyber threats

Horizon des menaces & perspectives pour le secteur

Les médias et entreprises de divertissement ont un grand pouvoir d'influence sur l'opinion publique et même sur l'image d'un pays, ce qui en fait des cibles de choix pour les groupes APT et les hacktivistes cherchant à se faire entendre.

Les facteurs ci-dessous sont susceptibles d'intensifier les menaces dirigées contre ces secteurs :

  • Les préoccupations en matière de stabilité intérieure et de légitimité gouvernementale risquent d'inciter les États à recruter des groupes APT pour prendre le pouls de l'opinion publique, maîtriser leur image, promouvoir leur message, et renforcer et étendre leur influence à l'international par la voie médiatique.
  • Certains attaquants souhaitant empêcher la publication d'articles et d'opinions mettant en cause leurs commanditaires peuvent tenter d'accéder aux dossiers d'un groupe de presse et d'obtenir l'identité de ses sources. Ils pourront ainsi évaluer l'étendue des éléments d'informations en possession des journalistes et éventuellement identifier leurs informateurs.
  • Une fois ces informations en main, les attaquants pourront tenter d'intimider ou de lancer des actions punitives contre le groupe de presse en question pour empêcher la publication de l'article. Les attaquants peuvent dérober des données concernant le personnel et les sources d'une entreprise dans le but de les intimider ou de les surveiller. Ils peuvent également tenter de dérober et de publier des données sensibles dans le but de dénigrer et de discréditer une entreprise.
  • En cas de tensions ou conflits entre États ou d'autres acteurs, les protagonistes peuvent faire appel à des pirates pour museler le message ou la propagande de ses rivaux, tout en tentant des actions de désinformation sur les canaux de communication adverses.
  • Face à l'avènement des réseaux sociaux, les groupes APT, cybercriminels et hacktivistes vont continuer à cibler les FAI et plates-formes Internet pour mener des actions d'ingénierie sociale, ou encore perturber leurs services ou défigurer leurs pages Web de façon à servir leur propre cause.
Nous avons observé au moins 17 groupes responsables d'attaques avancées visant des entreprises appartenant aux sous-secteurs d'activité ci-dessous :
  • Logiciels de jeux & de divertissement
  • Entreprises multi-divertissement
  • Collecte & diffusion d'informations
  • Portails de publication, de diffusion & de recherche sur Internet
  • Presse magazines
  • Logiciels multimédias, graphiques & de publication
  • Presse journaux
  • Groupes audiovisuels
Types de données volées à des entreprises des secteurs du divertissement & des médias
  • Carnets d'adresses
  • Fichiers d'agenda
  • Communications des dirigeants
  • Informations sur des négociations
  • Documents sur l'infrastructure réseau
  • Documents marketing et de relations publiques
  • Communications de journalistes
  • Identifiants utilisateur

Étude de cas : APT28 soupçonné dans l'opération « sous fausse bannière » menée contre TV5 Monde.

En avril 2015, des attaquants ont compromis TV5 Monde, la chaîne francophone diffusée dans le monde entier. Les attaquants ont endommagé des équipements, entraînant ainsi des perturbations des programmes pendant plusieurs heures. De plus, ils ont piraté le site et les comptes de réseaux sociaux de la chaîne pour y afficher de la propagande de l'État islamique et du CyberCaliphathe, un groupe d'hacktivistes soupçonné de liens avec l'État islamique. Toutefois, alors que tous les regards se sont initialement tournés vers CyberCaliphathe, FireEye Threat Intelligence soupçonne APT28, un groupe associé au gouvernement russe, d'en avoir été le véritable instigateur. APT28 s'est probablement fait passer pour CyberCaliphate afin d'exploiter les craintes occidentales vis-à-vis de l'extrémisme islamique, et ce dans un contexte de tension extrême suscité par les attentats en France. La compromission de TV5 Monde était sans doute une opération des renseignements russes destinée à alarmer les Français, avec qui la Russie entretient des relations houleuses (comme avec le reste de l'Occident), et visant à détourner l'attention de l'Occident du rôle constant de la Russie dans la crise ukrainienne pour l'orienter vers la menace terroriste au Moyen-Orient.

APT28 : Des opérations de cyberespionnage financées par la Russie

Rapport qui montre comment un groupe d'attaque russe convoite les informations privilégiées d'instances gouvernementales, militaires et sécuritaires.

Télécharger le rapport

cyber threats entertainment industry

LES 5 PRINCIPALES FAMILLES DE MALWARE

FireEye a constaté une récurrence de certaines familles de malwares utilisées pour compromettre des entreprises des secteurs du divertissement et des médias. En voici l'inventaire :

China Chopper Petit webshell qui fournit aux auteurs de menaces un accès non autorisé à un système informatique utilisant un simple mot de passe pour l'authentification. China Chopper peut également exécuter du code Microsoft .NET dans des commandes POST HTTP.
SOGU (ou Kaba, ou PlugX) Backdoor (porte dérobée) capable d'exécuter une série de fonctions : chargement et téléchargement de fichiers, exécution de processus arbitraires, accès aux systèmes de fichiers, au registre et à la configuration des services, accès shell distant, et implémentation d'un protocole personnalisé de type VNC/RDP pour octroyer au serveur de commande et contrôle (CnC) un accès graphique à l'ordinateur infecté.
Gh0stRAT Outil d'administration à distance (RAT) dérivé de code source disponible sur Internet. Il peut réaliser des captures audio et d'écran, activer une webcam, lister et arrêter des processus, ouvrir un shell, effacer des journaux d'événements, ainsi que créer, manipuler, supprimer, lancer et transférer des fichiers.
POISONIVY Outil RAT disponible sur Internet qui offre des fonctionnalités complètes d'accès à distance sur un système compromis. Ses variantes sont configurées, développées et contrôlées à l'aide d'une interface graphique de gestion Poison Ivy disponible en ligne. Poison Ivy peut être configuré pour produire un shellcode que les attaquants peuvent utiliser comme exécutable ou combiner avec un exécutable existant pour masquer sa présence. Il est généralement configuré de manière à injecter de nombreux stubs de shellcode dans le processus explorer.exe.
Page (ou ELISE) Téléchargeur destiné à extraire des DLL codées à partir d'un serveur de commande et contrôle (CnC) préconfiguré, avec lequel il communique à l'aide de requêtes HTTP. Une fois les DLL téléchargées, Page les charge en mémoire. Il intègre aussi plusieurs fonctions anti-rétroconception au niveau de la source.

LES 5 PRINCIPALES FAMILLES DE CRIMEWARE

D'après le serveur sinkhole et les données partagées dynamiquement par FireEye, les variantes de crimeware les plus fréquemment détectées dans les secteurs du divertissement et des médias sont les suivantes :

Upatre Programme de téléchargement de chevaux de Troie qui s'introduit généralement dans le système via un e-mail de spam, un téléchargement drive-by ou un exploit. Upatre télécharge un ou plusieurs autres types de malwares sur le système infecté. Selon nos observations, Upatre distribue un large éventail de malwares, notamment Zbot, Dyre, Rovnix, CryptoLocker et Necurs.
Delf Famille de chevaux de Troie dont les fichiers sont souvent compilés en Delphi. Ces malwares sont capables de se connecter à un serveur distant pour télécharger et installer d'autres malwares sur le système à l'insu de l'utilisateur ou sans son consentement, et peuvent également voler des informations sensibles.
Zeroaccess (ou SIREFEF) Cheval de Troie offrant des fonctionnalités avancées de rootkit. Conçu au départ comme un mécanisme de diffusion d'autres types de malwares, il a été reprogrammé pour pouvoir exécuter des fraudes au clic.
Allaple Ver qui lance des attaques par déni de service sur des cibles spécifiques et tente de se propager aux autres systèmes du réseau.
Muxif Programme de téléchargement de chevaux de Troie qui communique avec un serveur de commande et contrôle (CnC) afin d'envoyer des informations sur le système, recevoir des instructions et télécharger d'autres exécutables malveillants. Il modifie également les clés de registre pour s'implanter durablement dans le système.

1 Les groupes APT sont réputés pour recevoir d'un État commanditaire l'ordre de dérober des informations ou de mener des attaques contre les réseaux. Tenaces et déterminés, ils sont capables d'employer une grande variété d'outils et de tactiques.