Cyberveille relative aux institutions internationales et organisations à but non lucratif

Cybermenaces pour les institutions internationales et les organisations à but non lucratif

Les institutions internationales et organisations à but non lucratif sont sous la menace des types d'attaquants suivants :

  • Certains groupes APT1 peuvent cibler les organisations internationales dans le but de recueillir des informations susceptibles de donner l'avantage à leur gouvernement commanditaire dans des négociations ou des pourparlers d'accord. Ils peuvent également chercher à exploiter les relations de confiance d'une organisation afin de compromettre des États membres.
  • De même, des groupes APT peuvent s'attaquer à des associations étrangères opérant sur leur sol et s'intéressant à des questions controversées, vraisemblablement pour permettre à leur gouvernement de surveiller les activités de l'organisation dans le pays.
  • Des hacktivistes peuvent cibler les institutions et organisations en réaction à des sujets de controverse ou pour sensibiliser l'opinion publique à leur propre cause. Ils peuvent lancer des attaques par déni de service distribué (DDoS) pour mettre hors service et défigurer des sites Web, ou voler des informations sensibles pour les divulguer et discréditer leur cible.
nonprofit cyber threat intelligence

Horizon des menaces & perspectives pour le secteur

Les institutions internationales et organisations à but non lucratif continueront très probablement à être confrontées à des cybermenaces émanant essentiellement de groupes APT cherchant à obtenir des renseignements utiles pour les instances du pays commanditaire. Plusieurs facteurs sont susceptibles d'intensifier les menaces dirigées contre ces structures, notamment :

  • Activités sur un sol étranger et participation à des projets que le gouvernement du pays hôte juge controversés, sensibles ou potentiellement dangereux pour sa propre légitimité ou la stabilité nationale. L'État en question peut recruter des pirates pour surveiller ces activités.
  • Dossiers présentant un intérêt international ou géostratégique. Les groupes APT de nombreux pays peuvent cibler une organisation impliquée dans ces dossiers pour se livrer à des actes d'espionnage au profit de leur gouvernement commanditaire.
  • Questions polémiques. Des hacktivistes peuvent cibler des organisations s'ils estiment qu'elles ont échoué dans leur mission, pour s'opposer à une cause qui leur tient à cœur ou encore pour sensibiliser l'opinion publique à leur propre message.
Nous avons observé au moins 9 groupes responsables d'attaques avancées visant des entreprises appartenant aux sous-secteurs d'activité ci-dessous :
  • Fondations pour l'octroi de subventions et de bourses
  • Institutions internationales
  • Services de sondages et d'études de marché
  • Organisations à but non lucratif
  • Services de recherche & développement scientifique
  • Services d'assistance sociale
Types de données volées à des institutions internationales & des organisations à but non lucratif
  • Documentation concernant un événement
  • Documents de subventions / bourses d'études
  • Communications & documents internes
  • Témoignages et documents liés à des dossiers en cours/en instance
  • Programmes & initiatives
  • Rapports de recherche
  • Cahiers des charges

Étude de cas : Un groupe APT probablement basé en Chine détourne le site Web d'une organisation à but non lucratif

Nous avons enquêté sur un incident survenu dans une organisation de recherche à but non lucratif, dont le site Web a été détourné de manière à cibler les visiteurs du site. Lorsqu'un internaute consultait le site Web de l'organisation, son navigateur était redirigé vers un site Web malveillant exploitant une vulnérabilité zero-day d'Adobe Flash. Si le système de l'utilisateur exécutait une version vulnérable de Flash, une backdoor malveillante était téléchargée sur l'ordinateur de la victime à son insu. Dans la mesure où nous n'avons identifié aucun mouvement latéral ni aucune autre trace d'intrusion dans le réseau de l'organisation, il est probable que les auteurs de cette attaque ciblaient les visiteurs du site plutôt que l'organisation elle-même.

Étude de cas : Des groupes APT ciblent une ONG opérant en chine

Nous avons mené une enquête sur une intrusion au sein d'une organisation non gouvernementale (ONG) présente en Chine. Les résultats ont révélé que trois groupes APT du pays avaient été à l'œuvre sur son réseau de mai 2010 à mai 2013. Il est même possible que l'intrusion remonte à 2006. Après avoir compromis au moins 23 comptes d'utilisateur et 86 systèmes, les attaquants ont volé plus de 17 000 fichiers, pour la plupart en rapport avec les activités de l'ONG en Chine, son infrastructure informatique et le personnel de direction de son siège. Ils se sont emparés de pratiquement tous les fichiers du bureau chinois, dont les référentiels d'e-mails de la vaste majorité du personnel de 2010 à 2013. Une partie des données concernait des sujets spécifiques, notamment des campagnes politiques destinées à la base populaire chinoise.

malware crimeware targeting nonprofits

PRINCIPALES FAMILLES DE MALWARE

FireEye a constaté une récurrence des familles de malwares utilisées pour compromettre des institutions internationales et organisations à but non lucratif. En voici l'inventaire :

Gh0stRAT Outil d'accès à distance (RAT) dérivé de code source disponible sur Internet. Il peut réaliser des captures audio et d'écran, activer une webcam, lister et arrêter des processus, ouvrir un shell, effacer des journaux d'événements, ainsi que créer, manipuler, supprimer, lancer et transférer des fichiers.
ERACS Backdoor (porte dérobée) HTTP qui communique généralement avec les adresses IP via le port TCP 80. Il peut charger et télécharger des fichiers, manipuler des services et des processus, créer un shell inversé, enregistrer les saisies clavier, effectuer des captures d'écran, obtenir des informations sur les hôtes et les noms d'utilisateur, etc.
PHOTO Backdoor de type DLL qui s'installe généralement comme un service et peut être implémenté comme une DLL 32 ou 64 bits. Photo peut extraire des pilotes pour utiliser des fonctionnalités de rootkit en implémentant des crochets (hooks) sur divers périphériques de contrôle des entrées/sorties (IOCTL) dans le but d'enregistrer les saisies clavier et de dissimuler le trafic réseau et les clés de registre. Ces pilotes peuvent être propres au système d'exploitation.
BANGAT Backdoor capable d'une série de fonctions : enregistrement des saisies clavier, connexion à un pilote, établissement d'une connexion à un serveur de commande et contrôle (CnC), enregistrement des mouvements de souris, collecte d'informations système, création et arrêt de processus, collecte de mots de passe, arrêt et déconnexion de systèmes, ou encore création et modification de fichiers.
POISON IVY Outil RAT disponible sur Internet qui offre des fonctionnalités complètes d'accès à distance sur un système compromis. Ses variantes sont configurées, développées et contrôlées à l'aide d'une interface graphique de gestion Poison Ivy disponible en ligne. Poison Ivy peut être configuré pour produire un shellcode que les attaquants peuvent utiliser comme exécutable ou combiner avec un exécutable existant pour masquer sa présence. Il est généralement configuré de manière à injecter de nombreux stubs de shellcode dans le processus explorer.exe.

PRINCIPALES FAMILLES DE CRIMEWARE

D'après le serveur sinkhole et les données partagées dynamiquement par FireEye, les variantes de crimeware les plus fréquemment détectées dans les institutions internationales et organisations à but non lucratif sont les suivantes :

RAMNIT Ver infecteur de fichiers capable de dérober des identifiants FTP et bancaires, et d'exécuter à distance des commandes shell tout en échappant à la détection antivirus.
PALEVO Ver spécialisé dans le vol d'informations, qui se propage via des supports de stockage amovibles, des plates-formes de partage en réseau, des connexions peer-to-peer et des programmes de messagerie instantanée. Les appareils infectés communiquent avec le serveur de commande et contrôle (CnC) sur le port UDP 53.
ZEUS (ou Zbot) Famille de chevaux de Troie principalement conçus pour le vol d'identifiants bancaires. La richesse fonctionnelle de Zeus lui permet notamment d'exécuter des commandes shell à distance.
FLASHBACK Il s'agit du botnet le plus utilisé pour pirater les systèmes Apple OS X. Il exploite une faille de sécurité Java pour s'installer.
QAKBOT Cheval de Troie polyvalent distribué au moyen d'exploits de navigateur et injecté par d'autres malwares. Qakbot comprend plusieurs composants qui ne sont pas tous présents dans chaque infection. Il peut se propager sur les plates-formes de partage en réseau et dérober des données. En général, les données volées sont chargées sur un serveur FTP où le pirate pourra ensuite y accéder.

1 Les groupes APT sont réputés pour recevoir d'un État commanditaire l'ordre de dérober des informations ou de mener des attaques contre les réseaux. Tenaces et déterminés, ils sont capables d'employer une grande variété d'outils et de tactiques.