TOOLinux

Le journal du Libre

Sur la mondialisation croissante des cyberattaques

mercredi 24 avril 2013

FireEye publie le rapport « The Advanced Cyber Attack Landscape ». Au moyen de cartes interactives, ce rapport donne un aperçu détaillé du caractère mondialisé de la diffusion des programmes malveillants dans la cadre de cyberattaques sophistiquées. Voici les principales conclusions du rapport :

- 184 pays hébergent des hubs de communication ou des serveurs Command & Control (CnC), le principal de l’activité ayant lieu en Asie et en Europe de l’Est
- Les entreprises technologiques sont les organisations le plus souvent attaquées
- La majorité (89 %) des attaques Advanced Persistent Threat (APT) sont menées au moyen d’outils développés et diffusés par des groupes de hackers chinois

Les serveurs CnC sont utilisés intensivement pendant une attaque. Via une fonction de rappel (« callback »), ces serveurs restent en contact avec une machine infectée. Le hacker peut ainsi télécharger un programme malveillant et l’adapter de telle sorte qu’il évite d’être détecté et qu’il puisse subtiliser des données ou étendre une attaque au sein d’une organisation.

Le rapport « The Advanced Cyber Attack Landscape » analyse l’interception de plus de douze millions de callbacks effectués sur des milliers d’appareils dans 184 pays et enregistrés par la plate-forme FireEye en 2012. La plate-forme FireEye est implémentée derrière des firewalls, des firewalls de dernière génération, des Intrusion Prevention Systems (IPS), des antivirus (AV) et d’autres passerelles de sécurité. Elle constitue la dernière ligne de défense contre les attaques sophistiquées qui contournent les infrastructures de sécurisation traditionnelles basées sur les signatures.

Voici des découvertes importantes du rapport

- Les cyberattaques sont devenues une activité mondiale – des callbacks ont été envoyés vers 184 pays ces dernières années. FireEye a découvert que des serveurs CnC sont hébergés dans 184 pays, une augmentation de 41 % par rapport aux résultats de 2010, lorsque FireEye avait identifié 130 pays touchés.
- L’Asie et l’Europe de l’Est sont l’épicentre des attaques – par rapport à la moyenne de callbacks par pays, les pays asiatiques tels que la Chine, la Corée, l’Inde, le Japon et Hong Kong représentent à eux seuls 24 % des callbacks mondiaux. Les pays d’Europe de l’Est – la Russie, la Pologne, la Roumanie, l’Ukraine, le Kazakhstan et la Lettonie – ne sont pas loin derrière, avec 22 % de callbacks.
- Les entreprises technologiques sont souvent visées – les entreprises technologiques sont confrontées au pourcentage le plus élevé de callbacks dus à des cyberattaques. Ces entreprises sont victimes de vol de propriété intellectuelle, de sabotage ou d’adaptation du code source afin de mener d’autres activités criminelles.
- La majeure partie des activités de callback APT sont menées au moyen d’outils APT en provenance de Chine ou de groupes de hackers chinois – en analysant l’ADN de familles bien connues de programmes malveillants APT (afin de combattre les callbacks), FireEye a découvert que la majeure partie des activités de callback APT – 89 % – est liée à des outils APT conçus en Chine ou provenant de groupes de hackers chinois. Leur principal outil est Gh0st RAT.