Derniers développements sur la vie et l’oeuvre de Stuxnet, basé sur le travail de l’équipe Security Response de Symantec.

Après analyse plus poussée du code, il s’avère qu’il cherchait à communiquer avec 2 serveurs « Command&Control », qui jusqu’à la semaine dernière pointaient vers un autre serveur en Malaisie (Je rappelle à toutes fins utiles que la localisation d’une machine ne donne aucunes informations sur l’origine de l’attaque, encore moins de l’attaquant). Nous avons pu dérouter et intercepter le trafic vers ces serveurs, les empêchant ainsi de contrôler les machines infectées et d’en récupérer les informations.

Durant la première partie de la semaine dernière, nous avons identifié près de 14.000 adresses IP distinctes tenter de contacter les dits serveurs. A noter que compte tenu de l’utilisation fréquente d’adressage NAT, le nombre réel de machines infectées est vraisemblablement beaucoup plus important, comme en témoignent certaines données récoltées.

Voici la ventilation des détections par pays :

A souligner concernant les « auteurs/commanditaires/bénéficiaires » :

• - Nous n’avons aucune idée de qui est derrière cette attaque. Ce qui est extrêmement rare à notre niveau d’information.
• - Si l’architecture de l’attaque se dessine (technologies, cibles, géographie…), la motivation reste très floue.
• - Si l’on nous avait présenté ce schéma d’attaque il y quelques semaines, bien que théoriquement possible, nous aurions plutôt pensé à un scénario à la « 24 Heures »…
• - Mais il est clair que ce sont loin d’être des amateurs.

En effet, revenons sur les faits majeurs :

• Les attaquants ont découvert et utilisé une vulnérabilité zero-day affectant toutes les versions de Windows
• Ils ont développé et mis en place une technologie de type rootkit pour dissimuler leur présence
• Ils ciblent des logiciels utilisés pour contrôler des processus et éléments industriels SCADA; démontrant au passage une profonde connaissance de ces outils.
• Ils ont été capables de signer leurs fichiers en utilisant des certificats volés à des tiers innocents.
• L’attaque n’est pas ciblée. La menace se réplique en utilisant des périphériques USB et peut infecter n’importe quelle machine Windows.

Vulnérabilité zero-day, rootkit, vols de certificats, connaissance détaillée des logiciels SCADA…la combinaison de tous ces facteurs d’attaques, particulièrement sophistiqués, est extrêmement rare, voire même totalement inédite.

Alors, imaginons quelques scénarii et leur possibles acteurs :

Le solitaire

Une possibilité est que cette attaque est perpétrée par l’archétype du « hacker », depuis sa chambre, chez Pôpa et Môman. Sa motivation peut être basée sur la soif de notoriété, le vol de propriété intellectuelle lui permet de démontrer ses capacités, se faire remarquer et peut-être même en tirer bénéfice…Cela dit, bien que possible, voler 2 certificats, découvrir/utiliser une vulnérabilité zero-day, mettre en place un rootkit, maîtriser des technologies SCADA font beaucoup pour un seul individu, même très déterminé. Cette option est donc à écarter.

L’employé mécontent (ou menacé…)
La connaissance approfondie de produits SCADA pourrait amener à conclure que l’attaque aurait été conduite par un employé (mécontent ou manipulé) d’une entreprise utilisant ce type de logiciel. Cependant, la probabilité qu’une telle personne soit également capable de découvrir une vulnérabilité zero -day et de voler deux certificats est très faible. 

Des concurrents

Une autre possibilité est qu’un concurrent des organisations ciblées essaye de prendre l’avantage par tous les moyens possibles. Il pourrait utiliser les documents subtilisés pour comprendre et compromettre des processus industriels secrets ou même lancer une attaque en déni de service à l’encontre de ses compétiteurs. Mais les attaques de cette nature sont généralement plus ciblées. Ici, le maliciel se propage largement, à l’aveugle, sur n’importe quelle machine Windows, quelle appartienne à l’entreprise visée ou non, qu’un logiciel SCADA soit installé ou pas, rendant de ce fait la détection par les entreprises de sécurité plus rapide.

L’espionnage d’état

Récemment, certains gouvernements ont pu être accusés de favoriser le « hacking » à l’extérieur de leurs frontières (vols de secrets d’état, militaires…) et dans ce cas les motivations sont proches du cas précédent, l’aspect commercial en moins. La complexité et la qualité des éléments utilisé dans l’attaque pourrait amener certains à penser que seul un état pourrait avoir les ressources nécessaires. Mais des éléments comme notamment la gestion maladroite du vols des certificats ont alerté les spécialistes de la sécurité, et ainsi dévoilé définitivement ce modus operandi.

Motivations politiques, nationalistes, religieuses…

Souvent, des attaques attribués à des états sont le fait d’individus motivés et liés par des causes politiques, nationalistes, religieuses ou autres. Ils peuvent décider d’attaquer tout pays ou organisation qu’ils estiment ennemi. Ces groupes ont la patience et l’expertise nécessaire pour faire évoluer leurs « outils » en fonction des contre-mesures mises en place.

Le terrorisme

L’option la plus sombre est celle à motivation terroriste. Si un attaquant arrivait à contrôler une centrale électrique ou toute autre infrastructure critique, les dommages pourraient être importants. Et même si, jusqu’à présent, ce type de scénario restait plutôt au niveau hollywoodien, force est de reconnaître que c’est dans le domaine du possible.

 Conclusion

Lorsqu’ils regardent ces de films, ou un « hacker » génial rançonne une organisation ou même un état, la plupart des professionnels de sécurité informatique sourient (grimacent ?) et savent bien qu’il ne s’agit que de fiction. Cependant bien que le cas STUXNET puisse se lire comme la bande annonce du dernier blockbuster hollowoodien, c’est clairement la première fois qu’une menace, diffusée largement, montre la possibilité de prendre le contrôle de processus industriels.

Cela démontre également que dans ce monde interconnecté, vigilance et sécurité sont plus importantes que jamais et se préparer, même au pire, est toujours d’actualité.

Le pire n’est jamais certain.

Calderon (1600-1681)

Des chiffres dévoilés lors d’une étude sur les anti-virus factices en novembre dernier (voir « Facticiels », le fléau des anti-virus factices. ) comme exemple, un peu d’arithmétique et voilà :

• 43 millions d’installations de facticiels bloqués par Symantec sur 12 mois (dans 93% des cas demandées par l’utilisateur lui-même…)
• à 30 $ minimum le coût par installation/achat (si non bloqué)
• cela donne 1, 29 milliard de dollars !

Même si cela ne fonctionne vraiment que dans 10% des cas : 129 millions de dollars !

Soyons pessimistes, c’est la crise : 2% des cas, quand même 2,5 M$ !!!  (et je garde 80.000 pour les frais)

Un exemple en images :

Un sou est un sou.

Guy Roux ?

Mais au delà de cette trouvaille déjà intéressante en terme de volumétrie, c’est le fonctionnement du cheval de Troie lui-même qui peut surprendre. En effet, si Infostealer.Gampass est généralement à l’origine de la capture, Trojan.Loginck a lui pour mission de « confirmer » les comptes dérobés, notamment en terme de validité du mot de passe et autres paramètres comme le niveau du personnage par exemple.

Alors, compte tenu du grand nombre de comptes à « vérifier » ainsi que des potentiels problèmes de verouillage d’un mot de passe après plusieurs essais depuis la même adresse IP, Trojan.Loginck  « dispatche » les tâches sur une multitude de bots. Ces machines remontent ensuite les résultats vers une base de données centrale (17 Go pour l’instant…).

Le but étant bien entendu la vente de ces données, mais à quel tarif et pour quel profit au final ?

Difficile à dire pour l’instant, bien que l’on puisse assez facilement évaluer la valeur potentielle de ces comptes en jettant un oeil sur des sites comme www.playerauctions.com ou www.gamewar.com. Bien que la revente de comptes soit prohibée par la plupart des jeux en lignes (comme signifié dans les EULAs) ces sites proposent une version sécurisée de ce type de commerce (à noter qu’il n’y a aucune preuve qu’ils puissent être impliqués dans la revente de comptes volés).

Voici des exemple des tarifs des plus élevés, histoire de se faire une idée du business potentiel :

Là, il y a même des soldes !

Moi, j’ai un Oui-Oui niveau 1 avec un tue-mouche en barbapapa…Combien tu me donnes ?

Alors voici un site qui donne des détails utiles. Bon, c’est en anglais, mais si vous compter vous y rendre, c’est ça ou l’AFRIKAANS !

Puis, ici une interview de Philippe Verveer (ex-Directeur Technique du CIO) et de Candid Wueest (Expert Sécurité Symantec), toujours en anglais, mais l’un des deux est assez facile à comprendre ;-) :

Pour finir, en anglais toujours (to improve your english…), cette vidéo extrait de la série britanique : GUIDE TO SCARY INTERNET STUFF :

Ne pas prévenir, c’est déjà gémir.

Léonard de Vinci.

Mais il est évident qu’un tel lancement planétaire ne sera pas ignoré par les cyber-vilains. Comme déjà évoqué précédement, l’actualité reste la source privilégiée d’inspirations pour les arnaqueurs du net. Certains sites étant même très utiles en la matière : la page d’accueil de Twitter présente par exemple et en permanence les sujets les plus traités par la communauté.

On constate généralement 4 catégories :

1. L’actualité (M.Jackson, grippe H1N1, Haïti, L’iPad…)
2. Les grands évènements (Elections US, JO de Vancouver, Coupe du monde de foot…à noter le site 2010NetThreat traite ce précisément du sujet )
3. Les « marronniers » comme on dit dans la presse pour les évènements récurrents (Voeux, soldes, Saint Valentin…)
4. ou même des fausses informations si l’actu est pauvre…

 Attendons-nous donc aux arnaques en tout genre autour du bidule d’Apple :

• Spam et phishing via des site proposant des « pré-commandes » 
• Informations sur l’objet dans des documents infectés
• Vidéos bidons, dont bien entendu le bon « codec » doit être téléchargé
• ou encore l’affichage en « tête de gondole » (SEO poisonning) des moteurs de recherches, des sites « soi-disant » à fond sur le sujet, mais qui, dès le premier clic, trouve votre machine infectée ! Heureusement, on propose de règler le problème grâce à l’acquisition d’un anti-saleté spécifique (voir Facticiels)…

A bon entendeur…

Dans ce cas, ce n’est pas le détournement de don qui est visé, mais bien l’installation d’un facticiel sur la machine de l’internaute.

1) La recherche :

2) si l’on clique sur le lien indiqué ci-dessus, voici ce mon Norton Internet Security 2010 me dit :

Pour l’anecdote, l’attaque vient de Jamaïque, bien que je doute fortement que l’impétrant soit Jamaïcain.

ATTENTION, ces exercices sont réalisés par des professionnels, ne pas les reproduire à la maison !!!

Quelques exemples :

Voici probablement une de mes illustrations préférées de cet adage, à travers un bandeau trouvé sur le net il y a déjà un certain temps, mais ô combien évocateur du chemin à parcourir…

Pas forcément besoin de se creuser la tête pour trouver des techniques d’ingéniérie sociales super-sophistiquées…

On peut en effet classer les différents types d’arnaques selon la fibre qu’elle est censée faire vibrer chez chacun d’entre nous : Paresse, orgueil, gourmandise, luxure, avarice, colère, envie, mais aussi peur, curiosité, cupidité, et j’en passe…

 Commençons avec, l’orgueil et la colère :

 1)      L’ORGUEIL

Via ce message, vous êtes cordialement invité à rejoindre le club très fermé du Who’s Who des Business Leader 2010 :

Le but est de récupérer votre carnet d’adresses in extenso, curieux passage obligé pour entrer dans le fameux cercle… 

2)     LA COLERE

Spam classique mais encore détecté ces jours-çi :

Hey, some jerk has posted your pictures (u understand what kind of pictures are there) and sent a link of them to all ur friends. I have already replied back. Said, that he is an idiot. See the link: www._______________.com

La VF  : Eh, un abruti a publié des photos de toi (tu imagines le genre de photos…) et a envoyé un lien à tous tes amis. J’ai déjà répondu, en disant que c’était un idiot. Va voir le lien :

Bien entendu, si l’on clique voici ce qu’il se passe :

 OOPS, trop tard, site déjà identifié comme malveillant !

 A suivre…

Voilà donc ce que l’on trouve en cherchant…très peu…vraiment très peu.

Pour mémoire, un « CVV » , pour « Card Verification value » est bien le petit code au dos de votre carte bancaire, mais en locurrence le « nom de code » pour « Information complète de carte bancaire » …à vendre…

Sinon, la « Sandrine » en question :

1. n’a probablement rien n’avoir avec ça
2. c’est fait voler son compte FB
3. N’est pas la vraie Sandrine
4. n’existe pas vraiment
5. Ou n’est pas très maligne…