Les cyberattaques ciblées diffèrent des attaques de pirates de masse en ce qu'elles visent une entreprise ou une organisation spécifique. Ces attaques sont plus efficaces car elles sont planifiées et personnalisées à l'aide des informations recueillies sur la victime. Tout commence par la collecte d'informations. En règle générale, il s'agit de la partie la plus longue et la plus laborieuse de l'opération. Et puis vous devez préparer et mener une attaque. De l'extérieur, tout semble assez compliqué et il semble que seuls les crackers d'élite peuvent le faire. Cependant, la réalité est différente.
Si
en 2017 la part des attaques non ciblées était de 90% , et la cible n'était que de 9,9%, en 2018 et 2019,
il y avait une augmentation constante des attaques précisément ciblées . S'ils sont si difficiles à réaliser, pourquoi y en a-t-il plus? Et comment sont menées les attaques ciblées modernes, pourquoi les pirates passent-ils des attaques de masse aux attaques ciblées? Pourquoi le nombre de ces incidents liés à des cyber-groupes bien connus n'est-il pas aussi important qu'il y paraît? Faisons les choses correctement.
Imaginez un groupe de pirates qui ont décidé d'attaquer une usine qui produit des cure-dents bouclés afin de voler le secret de leur production et de la vendre à des concurrents. Réfléchissez aux étapes d'une telle attaque et quels outils seront nécessaires pour cela.
Étape 1. Collecte d'informations
Les pirates informatiques doivent collecter autant d'informations que possible sur l'usine, sa direction et ses employés, l'infrastructure réseau, ainsi que sur les fournisseurs et les clients. Pour ce faire, les attaquants examinent le site de l'usine et toutes les adresses IP appartenant à l'entreprise à l'aide d'un scanner de vulnérabilité. Selon des sources publiques, une liste des salariés est dressée, leurs profils sur les réseaux sociaux et les sites qu'ils visitent en permanence sont étudiés. Sur la base des informations recueillies, un plan d'attaque est préparé et tous les services publics et services nécessaires sont sélectionnés.
Outils: scanner de vulnérabilité, services de journalisation de sites Web, e-mails volés et informations d'identification de site Web.
Étape 2. Organisation des points d'entrée
En utilisant les informations collectées, les pirates préparent une infiltration dans le réseau de l'entreprise. Le moyen le plus simple consiste à hameçonner des e-mails contenant des pièces jointes ou des liens malveillants.
Les criminels n'ont pas besoin d'avoir les compétences d'ingénierie sociale ou de développement d'exploits Web pour différentes versions du navigateur - tout ce dont vous avez besoin est disponible sous forme de services sur les forums de pirates et sur le darknet. Pour une somme relativement modique, ces spécialistes prépareront des e-mails de phishing basés sur les données collectées. Le contenu malveillant pour les sites Web peut également être acheté en tant que service d'installation de code malveillant en tant que service. Dans ce cas, le client n'a pas besoin de se plonger dans les détails de mise en œuvre. Le script détectera automatiquement le navigateur et la plate-forme de la victime et exploitera, utilisera la version appropriée de l'exploit pour introduire et pénétrer l'appareil.
Outils: service
«code malveillant en tant que service» , un service de développement d'e-mails de phishing malveillants.
Étape 3. Connexion au serveur de gestion
Après avoir pénétré dans le réseau de l'usine, les pirates ont besoin d'une tête de pont pour sécuriser et effectuer d'autres actions. Il peut s'agir d'un ordinateur compromis avec une porte dérobée installée, acceptant les commandes du serveur de gestion sur un hébergement dédié "pare-balles" (ou "résistant aux plaintes", il est également "pare-balles" ou BPHS - service d'hébergement pare-balles). Une autre façon consiste à organiser un serveur de gestion directement à l'intérieur de l'infrastructure de l'entreprise, dans notre cas, l'usine. Dans le même temps, vous n'avez pas à masquer le trafic entre les logiciels malveillants installés sur le réseau et le serveur.
SOURCE: TREND MICROLes marchés de la cybercriminalité offrent diverses options pour ces serveurs, réalisés sous la forme de produits logiciels à part entière, pour lesquels un support technique est même fourni.
Outils: hébergement "tolérant aux pannes" (pare-balles), serveur C-C en tant que service.
Étape 4. Déplacements latéraux
Il est loin d’être un fait que l’accès au premier ordinateur compromis dans l’infrastructure de l’usine permettra d’obtenir des informations sur la production de cure-dents bouclés. Pour y accéder, vous devez savoir où le secret principal est stocké et comment y accéder.
Cette étape est appelée "mouvement latéral" (mouvement latéral). En règle générale, les scripts sont utilisés pour le réaliser, automatisant l'analyse du réseau, obtenant des privilèges administratifs, supprimant les sauvegardes des bases de données et recherchant les documents stockés sur le réseau. Les scripts peuvent utiliser des utilitaires de système d'exploitation ou télécharger des conceptions originales disponibles à un coût supplémentaire.
Outils: scripts pour analyser le réseau, obtenir des privilèges administratifs, drainer les données et rechercher des documents.
Étape 5. Support d'attaque
Les temps où les pirates devaient s'asseoir dans le terminal pour accompagner l'attaque et frapper constamment sur les touches tout en tapant diverses commandes appartenaient au passé. Les cybercriminels modernes utilisent des interfaces Web, des panneaux et des tableaux de bord pratiques pour coordonner leur travail. Les étapes de l'attaque sont affichées sous forme de graphiques visuels, l'opérateur reçoit des notifications des problèmes qui se posent et différentes solutions peuvent être proposées pour les résoudre.
Outils: panneau de contrôle d'attaque Web
Étape 6. Vol d'informations
Dès que les informations nécessaires sont trouvées, il est nécessaire de les transférer du réseau d'usine aux pirates le plus rapidement possible. La transmission doit être déguisée en trafic légitime afin que le système DLP ne remarque rien. Pour cela, les pirates peuvent utiliser des connexions sécurisées, le chiffrement, l'empaquetage et la stéganographie.
Outils: crypteurs, crypteurs, tunnels VPN, tunnels DNS.
Résultat d'attaque
Nos pirates hypothétiques ont facilement pénétré le réseau des usines, trouvé les informations nécessaires au client et les ont volées. Tout ce dont ils avaient besoin pour cela était un montant relativement faible pour la location d'outils de piratage, qu'ils ont plus que compensé en vendant le secret des cure-dents à des concurrents.
Conclusions
Tout ce dont vous avez besoin pour mener des attaques ciblées est facilement disponible sur le darknet et sur les forums de pirates. Tout le monde peut acheter ou louer une trousse d'outils, et le niveau d'approvisionnement est si élevé que les vendeurs offrent un support technique et réduisent constamment les prix. Dans cette situation, il est inutile de perdre du temps à tirer des colibris du canon et à mener des campagnes malveillantes à grande échelle. Des rendements nettement supérieurs entraîneront plusieurs attaques ciblées.
Les groupes de hackers d'élite suivent également les tendances et diversifient les risques. Ils comprennent que la conduite d'attaques est une chose dangereuse, quoique lucrative. Pendant la préparation des attaques et dans les pauses entre elles, je veux aussi manger, ce qui signifie que des revenus supplémentaires ne feront pas de mal. Alors pourquoi ne pas laisser les autres utiliser leurs créations pour une récompense décente? Cela a donné lieu à une offre massive de services de piratage à louer et, selon les lois du marché, a entraîné une baisse de leur coût.
SOURCE: TREND MICROEn conséquence, le seuil d'entrée dans le segment des attaques ciblées a diminué et les sociétés d'analyse ont vu leur nombre augmenter d'année en année.
Une autre conséquence de la disponibilité d'outils sur les marchés de la cybercriminalité est que les attaques des groupes APT sont désormais beaucoup plus difficiles à distinguer des attaques perpétrées par des criminels qui louent leurs outils. Ainsi, la protection contre l'APT et les cybercriminels non organisés nécessite presque les mêmes mesures, bien que davantage de ressources soient nécessaires pour lutter contre l'APT.
En tant que critère empirique par lequel les actions des pirates APT sont révélées, il n'y a que la complexité et l'originalité des attaques, l'utilisation de développements et d'exploits uniques qui ne sont pas disponibles sur les marchés souterrains, un niveau plus élevé de connaissances sur la boîte à outils.