Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La trace retrouvée de l'attaque contre Kaspersky


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : septembre 2014
    Messages : 194
    Points : 12 274
    Points
    12 274
    Par défaut La trace retrouvée de l'attaque contre Kaspersky
    La trace retrouvée de l'attaque contre Kaspersky
    Il s’agirait du même organisme qui a créé Stuxnet et Duqu

    Après la découverte de Duqu en 2011 ainsi que Stuxnet, deux malwares qui avaient été utilisés pour espionner et saboter les usines nucléaires de l’Iran, les créateurs du célèbre programme malveillant frappent de nouveau avec un autre malware et de nouvelles cibles. En effet, selon un rapport publié par le groupe de sécurité Kaspersky Labs, leurs serveurs ont été infectés depuis plusieurs mois par un malware furtif extrêmement persistant, et dont le but est de voler des informations tout en gardant un profil bas pour masquer sa présence. Baptisé Duqu 2.0, « ce virus réside uniquement dans la mémoire volatile de l’ordinateur sans fichiers écrits sur le disque », déclare les chercheurs de Symantec qui avaient publié une autre analyse juste après le rapport publié hier par Kaspersky.

    Selon Symantec, ce malware se décline en deux variantes. La première est un backdoor de base qui semble être utilisé pour assurer la persistance à l'intérieur de l'entité ciblée en infectant plusieurs ordinateurs. La seconde variante est plus complexe : elle a la même structure que la première, mais contient plusieurs modules pour assurer la collecte d'informations sur l'ordinateur infecté, le vol de données, la découverte du réseau, l'infection par le réseau et la communication avec un serveur de contrôle et de commande.

    La raison qui pousse les deux groupes de sécurité à pointer les créateurs de Duqu du doigt est que plusieurs similarités ont été découvertes dans le code de ce nouveau malware, incluant la façon dont les messages sur le réseau sont générés, le même formatage d’adresses, la même manière de chiffrer et déchiffrer les fichiers et aussi des parties de code réutilisées telles quelles. Cependant, le responsable de recherche de Kaspersky déclare que ce malware est beaucoup plus sophistiqué et figure parmi la liste des virus les plus évolués que le groupe de sécurité a analysé. Le malware utiliserait des techniques d’infection très difficiles à détecter puisqu’«il ne réside que dans la mémoire volatile de l’ordinateur ». Ceci n’est pas une méthode très populaire chez les hackers puisqu’il est très difficile d’assurer la persistance du virus sur le long terme si ce dernier n’est pas stocké dans le disque dur ou les registres de la machine. En d’autres termes, si l’ordinateur est redémarré, le virus est supprimé. Toutefois, lorsque l’ordinateur est reconnecté au réseau de l’entreprise il sera réinfecté par le même malware résidant dans une autre machine.

    « La seule façon de se débarrasser de lui est donc de redémarrer toutes les machines au même moment ou de simuler une panne de courant dans le réseau ». Mais il semblerait que les créateurs de Duqu 2.0 aient déjà prévu une parade à cela. En effet, le malware stockerait quelques rares fichiers sur les serveurs de l’entreprise qui sont directement connectés à internet sous forme de drivers permettant à l’attaquant de ré-infecter le réseau en lui envoyant une « chaine magique ». Celle-ci lancerait une routine permettant de télécharger le programme malveillant de nouveau sur le serveur.


    Figure : schéma de fonctionnement du driver de Duqu 2.0

    Pour ce qui est du moyen qu’il utilise pour masquer efficacement sa présence, le malware utilise une faille sur Windows pour obtenir les privilèges systèmes, effectuer des opérations en mode administrateur et éviter ainsi la vérification des signatures numériques. Référencée sous le code CVE-2015-2360, cette vulnérabilité aurait permis à Duqu 2.0 d’exécuter du code noyau dans les machines infectées, une technique que les chercheurs de Kaspersky ont dénommé « Zero-day trampoline » car elle permet au virus de sauter directement dans le noyau Windows et d'accéder à la mémoire du système ainsi qu’aux périphériques connectés à la machine. Pour rappel, le terme « Zero Day » dans le domaine de la sécurité informatique décrit une vulnérabilité n’ayant pas encore été publiée ou n’ayant pas encore de correctif.

    La faille CVE-2015-2360 a été corrigée dans la mise à jour Windows de mardi dernier, rendant alors le malware inefficace. « Personne ne développe la plateforme d’un malware sur l’hypothèse qu’une faille Zero-Day va marcher indéfiniment, parce qu’elle sera surement découverte et corrigée. Et votre malware ne sera plus opérationnel une fois la faille corrigée », déclare Costin G. Raiu, chercheur en sécurité chez Kaspersky.

    Bien que le virus ait infecté les serveurs de Kaspersky depuis plusieurs mois, l’équipe de recherche du groupe de sécurité russe déclare qu’ils avaient détecté la présence du malware en février, soit quelques jours après avoir exposé des détails sur les opérations de cyberattaques à haute échelle de Stuxnet ainsi que des preuves qui les poussaient à croire qu’elle fut commanditée par les agences de surveillance des États-Unis et d’Israël.


    Figure : comparaison entre des parties de code de Duqu et Duqu 2.0 qui montrent des similarités (source Symantec)

    Les similarités trouvées entre Duqu 2.0, Stuxnet et la première version de Duqu montrent que les créateurs du nouveau malware avaient accès au code source des deux anciens malwares ; « et selon l’emploi du temps des attaquants, il semblerait qu’ils soient géographiquement situés à l’intérieur ou à proximité d’Israël », peut-on lire sur un article paru hier sur Arstechnica. D’autres indices révélés par Kaspersky pointent aussi sur Israël puisque selon leur billet de blog, « les attaquants auraient lancé une attaque similaire sur des cibles en relation avec le 70ème anniversaire de la libération du camp de concentration d’Auschwitz-Birkenau », dont 90 % des victimes étaient juives. Aussi « certaines des infections du nouveau Duqu seraient liées aux évènements et lieux relatifs aux négociations du P5+1 au sujet de l’accord nucléaire avec l’Iran ».

    Pour rappel, le groupe des P5+1 inclut les États-Unis, le Royaume-Uni, l’Allemagne, la France, la Russie et la Chine. « Il semble peu probable que les États-Unis aient été directement impliqués dans Duqu, puisque les pays espionnent rarement sur leurs propres négociations diplomatiques », conclut donc un rédacteur d’Arstechnica. Selon Symantec, les attaques auraient également ciblé des opérateurs téléphoniques en Europe et en Afrique du Nord ainsi que des organisations aux États-Unis, en Inde, à Hong Kong, en Suède et au Royaume-Uni.

    Ce qui est sûr selon Kaspersky en tout cas, c’est que l’attaque fut parrainée par un état et n’est pas l’œuvre de quelques hackers qui veulent juste prendre du plaisir. « Nous voyons cette bataille ou course à l’armement émerger et impliquer désormais une sorte de confrontation entre l'industrie de la sécurité et des espions sponsorisés par des états », déclare Vitaly Kamluk, responsable de sécurité chez Kaspersky. « La décision de cibler une entreprise de sécurité de classe mondiale doit être assez difficile », selon son équipe, « cibler des entreprises de sécurité indique que soit, ils [les attaquants] sont très confiants dans le fait qu'ils ne seront pas pris, soit ils ne se soucient pas du fait d’être découverts et exposés ».

    Source : Kaspersky Secure List, Symantec, Arstechnica

    Et vous ?

    Que pensez-vous de cette attaque sur Kaspersky Labs et de la méthode d’infection utilisée par le malware ?
    La guerre est-elle déclarée entre les organismes de sécurité et les agences d’espionnage gouvernementales ?

  2. #2
    Membre actif Avatar de NotNow
    Homme Profil pro
    Etudiant ingénieur en développement logiciel
    Inscrit en
    avril 2015
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Etudiant ingénieur en développement logiciel
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2015
    Messages : 82
    Points : 269
    Points
    269
    Par défaut
    Très bon article ! Une actualité complète très instructive !

  3. #3
    Nouveau membre du Club
    Homme Profil pro
    Développeur Java
    Inscrit en
    juillet 2011
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : juillet 2011
    Messages : 15
    Points : 28
    Points
    28
    Par défaut Trés instructif
    Merci pour cette news très fournie en information !
    Incroyable comment ces experts sont capables de remonter les pistes comme ça

  4. #4
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 173
    Points
    2 173
    Par défaut
    Donc les Etats-Unis ou Israël ont organisé une cyber-attaque contre Kaspersky. Intéressant...

    Je me demande ce qu'ils diraient si les Russes attaquaient Symantec, par exemple...

  5. #5
    Candidat au Club
    Femme Profil pro
    Analyse système
    Inscrit en
    juin 2015
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 29
    Localisation : Maroc

    Informations professionnelles :
    Activité : Analyse système
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juin 2015
    Messages : 3
    Points : 3
    Points
    3
    Par défaut
    Bonjour,
    Pouvez-vous m'éclaircir un point, les données collectées sont envoyées depuis le réseau vers un un autre serveur, donc c'est facile de détecter ce genre d'intrusion ?? Merci.

  6. #6
    Membre habitué
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    163
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 163
    Points : 187
    Points
    187
    Par défaut
    Bonjour,
    Comment est-ce possible de charger un malware en mémoire sans fichier ni entrée dans la base de registre? La mémoire volatile c'est bien la RAM? A un moment il doit bien y avoir quelque chose qui va faire qu'un code va être exécuté pour que le virus se retouve en mémoire non? En gros comment ce genre de malware fonctionne car je ne comprend pas bien? O_o
    Diplomes: DUT informatique et Master 2 MIAGE.
    Développeur Java/J2EE (principalement), .NET (niveau scolaire mais je compte m'améliorer ) et Web (HTML, PHP...).

  7. #7
    Membre confirmé Avatar de Lordsephiroth
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2006
    Messages
    199
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2006
    Messages : 199
    Points : 492
    Points
    492
    Par défaut
    Citation Envoyé par philou44300 Voir le message
    Bonjour,
    Comment est-ce possible de charger un malware en mémoire sans fichier ni entrée dans la base de registre? La mémoire volatile c'est bien la RAM? A un moment il doit bien y avoir quelque chose qui va faire qu'un code va être exécuté pour que le virus se retouve en mémoire non? En gros comment ce genre de malware fonctionne car je ne comprend pas bien? O_o
    Il y a divers moyen de mettre des choses en mémoire sans passer par des fichiers. Entre autre, le fameux "buffer overflow" (mais dans le cas de Duqu 2.0 c'est probablement une technique nettement plus sophistiquée). Et il est possible de faire ce genre d'attaques directement par le réseau (généralement en utilisant une vulnérabilité d'un logiciel tournant sur la machine cible, comme les serveurs web, les serveurs de bases de données ou tout autre programme permettant un accès depuis l'extérieur). Comme c'est précisé dans l'article, le morceau de code malicieusement placé en mémoire va disparaître au redémarrage de la machine.
    Always code as if the guy maintaining your application is a violent psychopath!
    Site personnel sur la saga Final Fantasy : http://www.final-fantasy.ch

  8. #8
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    577
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 577
    Points : 2 633
    Points
    2 633
    Par défaut
    Citation Envoyé par yayadev Voir le message
    Bonjour,
    Pouvez-vous m'éclaircir un point, les données collectées sont envoyées depuis le réseau vers un un autre serveur, donc c'est facile de détecter ce genre d'intrusion ?? Merci.
    C'est très difficile. Comment distinguer un flux légitime d'un flux qui ne l'est pas? De plus les malware avancés mettent en place des techniques pour essayer d'esquiver les IDS (par exemple en cachant l'information dans du trafic HTTP banal). On peut vérifier l'adresse de destination (l'adresse du C&C), mais celle ci n'est peut être pas encore connue et donc pas encore blacklisté. Mais là encore un malware peut utiliser de nombreux serveurs afin de limiter le blacklistage.

    Citation Envoyé par philou44300 Voir le message
    Bonjour,
    Comment est-ce possible de charger un malware en mémoire sans fichier ni entrée dans la base de registre? La mémoire volatile c'est bien la RAM? A un moment il doit bien y avoir quelque chose qui va faire qu'un code va être exécuté pour que le virus se retouve en mémoire non? En gros comment ce genre de malware fonctionne car je ne comprend pas bien? O_o
    On peut imaginer plusieurs choses. Un executable envoyé par pièce jointe, tu fais pas gaffe tu le lance, le prog est chargé, l’exécutable supprimé. Ou bien en passant par un programme vulnérable déjà en exécution. Par exemple un service qui tourne sur une machine, ou un navigateur web qui visite un mauvais site (site contenant du code malveillant). Une fois que tu as la main sur le programme/service, tu peux exécuter ton propre code. Donc tu peux par exemple lancer un autre processus, dans lequel tu injecte le code du virus. Le virus ne réside donc qu'en mémoire.

    Pour persister, ce stuxnet 2.0 infecte les autres machines du réseau, comme ça si une machine est redémarrée elle sera de nouveau infecté par une autre machine.

  9. #9
    Membre habitué
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    163
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 163
    Points : 187
    Points
    187
    Par défaut
    Merci pour vos explications . C'est déjà plus clair mais j'ai une quesion sur la réponse de Lordsephiroth: qu'est-ce que le "buffer overflow"? J'en ai déjà entendu parlé comme quoi c'est du dépassement tampon mais comment on peut arriver à un tel état?
    Diplomes: DUT informatique et Master 2 MIAGE.
    Développeur Java/J2EE (principalement), .NET (niveau scolaire mais je compte m'améliorer ) et Web (HTML, PHP...).

  10. #10
    Membre actif Avatar de NotNow
    Homme Profil pro
    Etudiant ingénieur en développement logiciel
    Inscrit en
    avril 2015
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Etudiant ingénieur en développement logiciel
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2015
    Messages : 82
    Points : 269
    Points
    269
    Par défaut
    Un exemple simple en C: utiliser strcpy() pour copier 50 caractères dans un char[15] . Dépassement de l'espace mémoire alloué.

    EDIT : Un Chouette exemple : http://nicolasj.developpez.com/articles/pieges/#LII

  11. #11
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    737
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 737
    Points : 1 412
    Points
    1 412
    Par défaut
    Simplement le buffer-over-flow c'est quand on prévoit un espace mémoire et que l'on entre dedans une chaine qui va dépasser la taille maximale. La chaine va donc arriver quelques part en mémoire. Le but du hacker est de savoir ou et il alors pouvoir écrire la ou il n'a normalement pas le droit pour installer son programme. Théoriquement c'est très simple a éviter mais en pratique il y de très nombreux endroits ou cela peut arriver y compris dans du code que l'on a pas écris mais que l'on utilise mal.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

Discussions similaires

  1. Réponses: 24
    Dernier message: 01/12/2010, 19h12
  2. Google se lance dans les services DNS : une attaque contre les FAI ?
    Par Gordon Fowler dans le forum Actualités
    Réponses: 43
    Dernier message: 19/05/2010, 10h39
  3. Deux universités chinoises sont derrière les attaques contre Google
    Par belhassen1982 dans le forum Actualités
    Réponses: 20
    Dernier message: 19/02/2010, 18h47
  4. protéger serveur contre les attaques
    Par orelero dans le forum Développement
    Réponses: 2
    Dernier message: 27/09/2006, 18h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo