Cyberveille relative aux secteurs de l'informatique et des hautes technologies

CYBERMENACES DANS LE SECTEUR DE L'INFORMATIQUE ET DES HAUTES TECHNOLOGIES

Les entreprises du secteur de l'informatique et des hautes technologies sont sous la menace des types d'attaquants suivants :

  • Des groupes APT1 tentent de s'emparer d'informations économiques et techniques dans le but de réduire les coûts de recherche et développement des entreprises du pays commanditaire, ou de leur donner toute autre forme d'avantage concurrentiel.
  • Les hacktivistes et autres attaquants sont susceptibles de perturber les opérations des fournisseurs d'accès Internet (FAI) pour attirer l'attention sur leur cause.
  • Les cybercriminels ont pour but de faire main basse sur des données financières et de comptes clients (identifiants ou informations de paiement, par exemple) ou des informations d'identification personnelle qu'ils peuvent exploiter dans un but lucratif.
high tech cyber threats

Horizon des menaces & perspectives pour le secteur

Les secteurs de l'informatique et des hautes technologies jouent un rôle clé dans de nombreux domaines, dont la sécurité, le renseignement et l'économie, ce qui en fait des cibles de choix pour des attaquants aussi nombreux que variés.

D'après nos études, les facteurs ci-dessous sont susceptibles d'intensifier les menaces dirigées contre le secteur :

  • Le développement de nouvelles technologies risque d'entraîner dans son sillage des groupes APT convoitant du capital intellectuel et des informations propriétaires susceptibles d'offrir à leurs entreprises nationales un avantage concurrentiel rapide.
  • Ces entreprises peuvent conclure avec les hautes administrations ou les armées des partenariats susceptibles de les exposer à des attaques commanditées par une puissance étrangère pour obtenir des renseignements de sécurité réseau. Les objectifs peuvent être divers : vols de données, accès à des programmes de recherche et développement, informations sur des projets militaro-technologiques, ou encore perturbation des capacités d'action d'un pays ennemi en cas de conflit.
  • La perspective de dérober et de revendre à profit des informations financières, bancaires et autres données sensibles de clients (telles que les informations d'identification personnelle) risque d'attirer la convoitise des cybercriminels aux motivations d'ordre financier.
  • Toute implication d'entreprises du secteur dans des polémiques (emploi, environnement, surveillance etc.) peut également pousser des hacktivistes à jeter le discrédit sur les entreprises qu'ils jugent fautives, tout en sensibilisant l'opinion publique à ces sujets.
Nous avons observé au moins 20 groupes responsables d'attaques avancées visant des entreprises appartenant aux sous-secteurs d'activité ci-dessous :
  • Logiciels informatiques
  • Services informatiques
  • Fabrication d'instruments de contrôle, électromédicaux, de mesure & de navigation
  • Fabrication d'ordinateurs & d'appareils électroniques grand public
  • Composants électroniques
  • Fabrication & vente en gros
  • Fabrication de dispositifs logiques
  • Communication & accès réseau
  • Fabrication d'appareils
  • Logiciels réseau & de connectivité
  • Fabrication d'équipements de routage & de commutation
  • Fabrication de systèmes de recherche, de détection, de navigation & de guidage
  • Logiciels de sécurité
  • Fabrication de semi-conducteurs
  • Logiciels de gestion des systèmes &
  • du stockage
Types de données volées à des entreprises du secteur informatique et des hautes technologies
  • Plans et schémas détaillés
  • Informations propriétaires sur les produits & services
  • Résultats & rapports de tests
  • Processus de production
  • Configurations & descriptions de logiciels & matériels
  • Documents traitant de la sécurité & de la gestion des risques
  • Diagrammes et manuels d'utilisation
  • Plans & stratégies marketing

Étude de cas : Deux groupes APT compromettent une entreprise high-tech

Nous avons enquêté sur un incident au cours duquel deux groupes APT chinois avaient compromis une entreprise high-tech spécialisée dans les technologies grand public et à usage militaire. Ces groupes ont été actifs dans l'environnement de cette entreprise pendant plus de trois ans. L'un de ces groupes, voire les deux, menait des opérations pratiquement quotidiennes dans l'environnement : reconnaissance et vol de données, vol de fichiers propriétaires concernant un produit grand public qui faisait à l'époque l'objet d'un programme R&D confidentiel (disponible sur le marché depuis). Il semble en outre qu'ils aient dirigé leurs recherches sur un autre produit de l'entreprise à usage militaire. Les groupes se sont infiltrés partout au sein du réseau pour accéder à des systèmes et utilisateurs critiques, puis ont déployé divers outils capables de dérober des informations, enregistré des captures d'écran et des saisies clavier, et volé des e-mails. Au total, ces deux groupes ont dérobé plus de 100 Go de données.

cyber threats to high tech industry

PRINCIPAUX MALWARES DÉTECTÉS

FireEye a constaté une récurrence des familles de malwares utilisées pour compromettre des institutions internationales et organisations à but non lucratif. En voici l'inventaire :

Gh0stRAT Outil d'administration à distance (RAT) dérivé de code source disponible sur Internet. Il peut réaliser des captures audio et d'écran, activer une webcam, lister et arrêter des processus, ouvrir un shell, effacer des journaux d'événements, ainsi que créer, manipuler, supprimer, lancer et transférer des fichiers.
TAIDOOR Backdoor (porte dérobée) capable de transférer des fichiers et d'exécuter des commandes. Taidoor utilise des communications HTTP cryptées à l'aide de l'algorithme RC4. La chaîne d'adresse MAC du système de la victime est utilisée comme clé.
PoisonIvy Outil RAT disponible sur Internet qui offre des fonctionnalités complètes d'accès à distance sur un système compromis. Ses variantes sont configurées, développées et contrôlées à l'aide d'une interface graphique de gestion disponible en ligne. Poison Ivy peut être configuré pour produire un shellcode que les attaquants peuvent utiliser comme exécutable ou combiner avec un exécutable existant pour masquer sa présence. Il est généralement configuré de manière à injecter de nombreux stubs de shellcode dans le processus explorer.exe.
SUNBLADE Backdoor (porte dérobée) capable d'exécuter du code à distance et de voler des identifiants. Il existe deux variantes de Sunblade, dont l'une intègre des fonctionnalités anti-sandbox et anti-virtualisation. Cette backdoor est essentiellement distribuée sous la forme d'un fichier ZIP ou RAR à extraction automatique, qui peut également contenir un document servant de leurre.
SOGU (ou Kaba, ou PlugX) Backdoor (porte dérobée) capable d'exécuter une série de fonctions : chargement et téléchargement de fichiers, exécution de processus arbitraires, accès aux systèmes de fichiers, au registre et à la configuration des services, accès shell distant, et implémentation d'un protocole personnalisé de type VNC/RDP pour octroyer au serveur de commande et contrôle (CnC) un accès graphique à l'ordinateur infecté.

PRINCIPAUX CRIMEWARES DÉTECTÉS

D'après le serveur sinkhole et les données partagées dynamiquement par FireEye, les variantes de crimeware les plus fréquemment détectées dans le secteur de l’informatique et des hautes technologies sont les suivantes :

Conficker Ver qui se propage en exploitant une vulnérabilité sur les supports de stockage amovibles et les plates-formes de partage en réseau. Il est capable de désactiver les paramètres de sécurité, de supprimer des fichiers de sauvegarde et de réinitialiser les points de restauration système.
Sality Cheval de Troie infecteur de fichiers qui peut entraver le fonctionnement de l'antivirus, envoyer du spam, télécharger d'autres malwares et voler des informations.
Upatre Programme de téléchargement de chevaux de Troie. Une fois infiltré sur un système (généralement via un e-mail de spam, un téléchargement drive-by ou un exploit), Updatre y télécharge un ou plusieurs autres types de malwares. Selon nos observations, Upatre distribue un large éventail de malwares, notamment Zbot, Dyre, Rovnix, CryptoLocker et Necurs.
Obitel Programme de téléchargement de chevaux de Troie qui communique avec une liste codée en dur de domaines CnC afin de recevoir des instructions et télécharger d'autres exécutables malveillants.
Andromeda (ou Gamarue) Cheval de Troie polyvalent qui peut être utilisé comme enregistreur de saisies clavier, outil de collecte d'informations de formulaire ou injecteur pour d'autres malwares.

1 Les groupes APT sont réputés pour recevoir d'un État commanditaire l'ordre de dérober des informations ou de mener des attaques contre les réseaux. Tenaces et déterminés, ils sont capables d'employer une grande variété d'outils et de tactiques.