Vidéo: Comment je me protège des cyberattaques (Novembre 2024)
Kaspersky Lab a publié le premier d'un rapport en deux parties sur "Octobre rouge", une attaque de malware qui, selon la société, infeste les systèmes gouvernementaux de haut niveau dans toute l'Europe et pourrait cibler spécifiquement des documents classifiés. Selon le rapport, les données volées sont de l'ordre de "des centaines de téraoctets" et sont restées pratiquement non détectées pendant environ cinq ans.
Octobre rouge, ou "Rocra", tire son nom du mois de sa découverte et du sous-marin russe silencieux et titulaire imaginé par l'auteur Tom Clancy. Vous pouvez parler de Octobre rouge et de son passé chez PC Mag.
Attaques spécifiquement ciblées
Le rapport décrit Octobre rouge comme un "cadre" pouvant être rapidement mis à niveau pour tirer parti des faiblesses de ses victimes. Les assaillants ont commencé leur attaque en envoyant des courriels de spearphising ou des documents infectés conçus pour plaire à leurs cibles. Une fois infectés, les intrus rassemblaient des informations sur le système avant d’installer des modules spécifiques pour accroître l’intrusion. Kaspersky a recensé environ 1 000 fichiers uniques appartenant à environ 30 catégories de modules.
Cette approche est nettement différente de celle de Flame ou de tout autre programme malveillant. Selon le rapport, "il existe un degré élevé d’interaction entre les attaquants et la victime. L’opération dépend du type de configuration dont dispose la victime, du type de documents qu’il utilise, des logiciels installés, de la langue maternelle, etc.".
"Par rapport à Flame et Gauss, qui sont des campagnes hautement automatisées de cyberespionnage, Rocra est beaucoup plus" personnel "et parfaitement adapté aux victimes", écrit Kaspersky.
Les assaillants étaient aussi sournois que méthodiques, changeant en fait de tactique pour utiliser des informations volées. "Les informations collectées sur les réseaux infectés sont réutilisées lors d'attaques ultérieures", écrit Kaspersky. "Par exemple, les informations d'identification volées ont été compilées dans une liste et utilisées lorsque les attaquants devaient deviner les mots de passe et les informations d'identification réseau dans d'autres emplacements."
Rester à l'écart du radar
Ce type d'attaque ciblée a non seulement permis aux personnes derrière Octobre rouge de s'en prendre à des cibles de haut niveau, mais a également aidé l'opération à rester non détectée pendant des années. "La combinaison d'attaquants hautement qualifiés et bien financés et d'une distribution limitée signifie généralement que les logiciels malveillants sont capables de rester sous le radar pendant une longue période", a déclaré Roel Schouwenberg, chercheur principal chez Kaspersky, à SecurityWatch . "De plus, nous n’avons pas vu l’utilisation de vulnérabilités jour zéro, ce qui montre encore une fois l’importance des correctifs."
Schouwenberg a poursuivi en affirmant que plusieurs niveaux de sécurité peuvent aider à bloquer ce type d’attaque. "C'est pourquoi la défense en profondeur est importante et que des approches telles que le refus par défaut, la liste blanche et le contrôle des applications entrent en jeu, explique-t-il à SecurityWatch . Les attaques peuvent être arrêtées même sans détection exacte."
Pas nécessairement le travail des nations
En dépit des objectifs de haut niveau, Kaspersky souligne qu’il n’existe aucun lien définitif avec une attaque parrainée par l’État. Le rapport indique que si les informations ciblées pourraient être utiles aux pays, "elles pourraient être échangées dans le sous-sol et vendues au plus offrant, ce qui peut bien sûr être n'importe où".
Les menaces personnalisées telles que Octobre rouge sont le genre de scénarios pervers qui empêchent les agents de sécurité du Pentagone de rester éveillés toute la nuit. Heureusement, la spécificité qui a fait le succès du mois d’octobre rouge signifie également qu’il est peu probable que les consommateurs réguliers comme vous et moi soient menacés.
Malheureusement, cela ne change rien au fait qu'un nouvel acteur puissant opère dans les coulisses depuis des années.
Pour plus de Max, suivez-le sur Twitter @wmaxeddy.
