211service.com
Le cyber-espionnage mondial révélé
Les attaques sont la preuve d'une motivation politique croissante chez les pirates informatiques. 4 août 2011
Les détails d'une campagne très organisée et soutenue d'attaques informatiques contre des entreprises et des gouvernements dans 14 pays ont été divulgués hier par la société de sécurité McAfee.
Les attaques remontent à près de cinq ans et ont duré d'un mois à 28 mois. Ils ont touché 32 types d'organisations, y compris des agences gouvernementales et des cabinets de défense, de construction, de technologie de l'information et de comptabilité.
McAfee pense que les attaques ont été orchestrées par un État-nation, mais n'a pas nommé ce pays. Les attaquants ont volé des informations et de la propriété intellectuelle qui pourraient être utilisées à des fins politiques et militaires. Avec la majorité des données, nous ne savons pas exactement à quoi elles servent, Dmitri Alperovitch , vice-président de la recherche sur les menaces chez McAfee, a déclaré lors d'une conférence de presse mercredi.
Le piratage en entreprise est devenu un problème majeur ces derniers mois. Une série d'attaques a visé des sociétés telles que RSA, Lockheed Martin et Sony. Mais Alperovitch dit que les attaques annoncées cette semaine – McAfee les appelle, collectivement, Operation Shady RAT (pour outil d'accès à distance) – ont été moins médiatisées, mais sont plus importantes. Dans de nombreux cas, les attaquants ont utilisé des techniques sophistiquées et soigneusement adaptées pour vaincre les défenses des entreprises sur une période de temps, un type d'attaque connu sous le nom de menace persistante avancée.
McAfee rapport affirme que l'opération impliquait une infiltration massive de 72 victimes identifiables et d'autres que la société de sécurité n'a pas pu identifier. Selon Alperovitch, certaines des informations volées lors des attaques étaient suffisamment sensibles pour avoir un impact significatif sur l'ensemble de l'économie d'un pays. C'est vraiment la question critique dont nous devons nous préoccuper, a-t-il déclaré.
McAfee n'a pas été en mesure de discuter publiquement des détails de l'opération jusqu'à présent en raison des accords de confidentialité avec ses clients. Cela a changé lorsque l'entreprise a découvert de manière indépendante un serveur de commande et de contrôle impliqué dans les attaques. Alperovitch a déclaré que la société voulait montrer à quel point les menaces persistantes avancées sont répandues et omniprésentes. Même nous avons été surpris par l'énorme diversité des organisations de victimes et surpris par l'audace des auteurs, a écrit Alperovitch dans un article de blog.
Cette semaine, Cisco a publié un rapport cela corrobore celui de McAfee, suggérant que les menaces persistantes avancées sont répandues et graves. Si vous êtes dans un secteur sensible, vous deviendrez victime d'une menace persistante avancée, si vous ne l'êtes pas déjà, déclare le chercheur principal en sécurité de Cisco. Marie Landesman .
Landesman voit l'augmentation de ce type de menace dans le cadre d'un changement d'orientation des attaquants. Les motivations politiques suscitent de plus en plus d'attaques.
Pour lancer des attaques très subreptices, très silencieuses et durables, dit Landesman, les attaquants utilisent une combinaison d'automatisation et de talent artistique. Ils commencent généralement par infecter autant d'ordinateurs que possible avec des logiciels malveillants. Une fois qu'un ordinateur est infecté, les attaquants examinent son adresse IP et les informations qui y sont stockées pour déterminer si la machine se trouve dans un emplacement géographique souhaitable ou appartient à une entreprise importante.
Les ordinateurs jugés intéressants sont placés sous la gestion d'un serveur de commandement et de contrôle spécial orienté vers des opérations particulièrement importantes. Les données sur l'ordinateur peuvent ensuite être examinées plus en détail, ou elles peuvent être utilisées pour lancer une attaque plus large, de l'ordinateur d'une réceptionniste à une machine au sein du bureau du PDG, par exemple.
McAfee et Cisco conviennent qu'il est difficile de se défendre contre les menaces persistantes avancées. Les défenses doivent être aussi ciblées et spécialisées que les attaques, dit Landesman. La détection d'une menace persistante avancée ne peut pas être effectuée à l'aide d'un outil passif, dit-elle. Les organisations doivent cartographier le trafic et le comportement normaux au sein de leurs systèmes, et effectuer des analyses médico-légales continues pour reconnaître les changements qui pourraient être des signes avant-coureurs.
Alperovitch a ajouté que bien que de nombreuses entreprises affectées par l'opération Shady RAT aient colmaté les failles qui fuyaient des informations, certaines ne connaissent peut-être toujours pas l'étendue des dommages causés. Et cela ne sera clair que lorsque les attaquants commenceront à utiliser les informations qu'ils ont volées.