Tactiques hacker préférées

Le piratage de systèmes informatiques peut se produire de différentes manières - des attaques sophistiquées avec piratage de composants réseau aux techniques techniquement primitives telles que la compromission de la correspondance commerciale. Dans cet article, nous analyserons les tactiques qui utilisent les groupes de hackers les plus dangereux - Lazarus, Pawn Storm, Cobalt, Silence et MoneyTaker .

L'un des critères les plus importants pour choisir les outils de piratage, en plus du degré d'appropriation des membres du groupe par eux, est l'efficacité. Les cyberattaques modernes sont des opérations complexes en plusieurs étapes, dont la mise en œuvre nécessite beaucoup de temps et de sérieuses ressources financières. Si la pénétration dans le système échoue, tous les travaux et coûts préliminaires seront vains. Ainsi, les tactiques de pénétration dans les systèmes utilisés par les principaux groupes peuvent être considérées comme les plus efficaces.

Parmi ces tactiques, il convient de souligner:

1. tous les types de phishing - classique, ciblé, phishing via les réseaux sociaux, tabnabbing;
2. attaques de la chaîne d'approvisionnement;
3. attaques comme Watering Hole;
4. attaques par le biais de vulnérabilités de l'équipement réseau et des systèmes d'exploitation;
5. attaques par interception DNS.

En fait, toutes ces méthodes sont connues depuis longtemps, mais chaque groupe apporte sa propre «touche», transformant simplement des tactiques efficaces en un projectile perforant ou combinant gracieusement plusieurs techniques pour contourner facilement les systèmes de protection des entreprises.

Hameçonnage

Dans sa forme la plus simple, le phishing est un e-mail standard contenant une pièce jointe ou un lien malveillant. Le texte de la lettre est composé de manière à convaincre le destinataire d'effectuer les actions nécessaires à l'expéditeur: ouvrez la pièce jointe ou suivez le lien pour changer le mot de passe.

Les lettres envoyées par des collègues ou des gestionnaires sont plus crédibles que les messages d'étrangers, surtout si la conception de la lettre est conforme au style adopté par l'entreprise. À cet égard, la phase préparatoire d'une cyber campagne utilisant le phishing comprend nécessairement la collecte d'informations sur la structure de l'organisation, une liste des employés et leurs e-mails, ainsi que de véritables lettres contenant des éléments de conception.

Groupement de silenceIl utilise le phishing le plus courant pour la pénétration avec une légère nuance: ses campagnes incluent nécessairement une phase de test avec l'envoi de lettres inoffensives pour vérifier la pertinence de la base d'adresses collectée. Cela vous permet d'augmenter l'efficacité de l'attaque en envoyant des lettres avec une charge malveillante à la base de données de destinataires vérifiée.

Le groupe Pawn Storm utilise également des mailings de phishing, et un amplificateur d'influence tel que l'autorité est ajouté pour augmenter leur efficacité. À cet égard, la phase préparatoire de leur campagne comprend le soi-disant phishing à haut niveau de crédibilité - le vol de comptes de haut niveau. Ayant collecté une quantité suffisante de ces données sur l'organisation cible, Pawn Storm effectue des envois postaux au nom de ces personnes, en les «chargeant» d'une charge utile qui garantit la réussite de l'objectif.

Dans l'arsenal des astuces de Fancy Bear, il y en a un autre, pas trop connu, - remplacer un site juridique par un site de phishing dans les onglets du navigateur - tabnabbing , décrit par Aza Raskin de Mozilla en 2010. L'attaque tabnabbing est la suivante:

• la victime est attirée vers un site inoffensif contrôlé par un attaquant;
• il existe un script sur le site qui surveille le comportement de la victime: dès qu'elle passe à un autre onglet ou pendant longtemps n'effectue aucune action, le contenu du site passe à la page d'autorisation dans le courrier ou le réseau social, et le favicon du site au favicon du service correspondant - Gmail, Facebook, etc. ré.
• De retour à l'onglet, la victime découvre qu'elle s'est «connectée» et entre sans aucun doute ses informations d'identification;
• , , .

Les hackers Lazarus n'échangent pas contre des bagatelles, préférant frapper exactement sur la cible. Leurs armes sont ciblées par phishing par mail et réseaux sociaux. Ayant choisi un salarié d'entreprise adapté à ses missions, ils étudient ses profils sur les réseaux sociaux, puis entrent en correspondance avec lui, ce qui débute généralement par une offre attrayante d'un nouvel emploi. En utilisant l'ingénierie sociale, ils le convainquent, sous le prétexte de quelque chose d'important, de télécharger le malware et de l'exécuter sur leur ordinateur.

L'équipe MoneyTaker , spécialisée dans les banques, mène des campagnes de phishing pour le compte d'autres banques, de la banque centrale, du ministère des finances et d'autres organisations financières. En copiant les modèles des départements concernés, ils donnent aux lettres le degré de crédibilité nécessaire et suffisant pour une attaque réussie.

Attaques de contrepartie

Il arrive souvent que l'organisation cible soit bien protégée, notamment lorsqu'il s'agit d'une organisation bancaire, militaire ou étatique. Afin de ne pas casser le front contre le «mur de béton» des complexes de défense, les groupes attaquent les contre-agents avec lesquels leur cible interagit. Ayant compromis le courrier de plusieurs employés ou même infiltré la correspondance, les pirates reçoivent les informations nécessaires pour une pénétration plus poussée et la possibilité de réaliser leur plan.

Par exemple, le groupe Cobalt a infiltré les réseaux bancaires, attaquant les intégrateurs de systèmes et d'autres fournisseurs de services, et les piratages par les développeurs de portefeuilles électroniques et les terminaux de paiement lui ont permis de voler automatiquement de l'argent via des passerelles de paiement en utilisant son propre programme.

Attaque d'arrosage

Watering Hole, ou Watering Hole, est l'une des tactiques préférées de Lazarus. Le sens de l'attaque est de compromettre les sites légaux qui sont souvent visités par les employés de l'organisation cible. Par exemple, pour les employés de banque, ces ressources seraient le site Web de la banque centrale, les ministères des finances et les portails industriels. Après le piratage, des outils de piratage sont placés sur le site sous couvert de contenu utile. Les visiteurs téléchargent ces programmes sur leur ordinateur et fournissent aux attaquants un accès au réseau.

Parmi les sites piratés de Lazarus figurent la Commission polonaise de surveillance financière , la Banque de la République orientale de l'Uruguay et la Commission nationale des banques et des actions du Mexique . Les pirates ont utilisé des vulnérabilités dans Liferay et JBoss pour pirater des sites.

Vulnérabilités du système d'exploitation et du réseau

L'exploitation des vulnérabilités des systèmes d'exploitation et des équipements réseau offre des avantages importants, mais cela nécessite des connaissances et des compétences professionnelles. L'utilisation de kits d'exploit sans une compréhension approfondie des principes de leur travail annulera rapidement le succès de l'attaque: ils ont piraté un hack, mais n'ont rien pu faire.

Les attaques de vulnérabilité sont courantes pour MoneyTaker, Lazarus et Pawn Storm. Les deux premiers groupes utilisent principalement les erreurs connues dans le micrologiciel des équipements réseau pour introduire leur serveur dans le réseau de l'entreprise via un VPN, à travers lequel ils effectuent d'autres actions. Mais dans l'arsenal de Pawn Storm, de dangereuses vulnérabilités zero-day sont découvertes, pour lesquelles il n'y a pas de correctifs; il recherche les systèmes présentant des vulnérabilités connues.

Attaques DNS

Il s'agit d'une famille d'attaques que nous avons enregistrées uniquement avec Pawn Storm. D'autres groupes bien connus se limitent généralement au phishing et à deux ou trois méthodes alternatives.

Pawn Storm utilise plusieurs niveaux de compromis DNS. Par exemple, il y a des cas où ils ont volé les informations d'identification de l'entreprise dans le panneau de configuration DNS et ont changé les serveurs MX en leurs propres, obtenant ainsi un accès complet à la correspondance. Le serveur malveillant a reçu et transmis tout le courrier à la société cible, en laissant des copies en sa possession, et les pirates informatiques peuvent infiltrer n'importe quelle chaîne à tout moment et obtenir le résultat souhaité, sans être détectés.

Une autre façon de faire des compromis était de prendre le contrôle total des serveurs du registraire DNS. Dans de nombreux pays, il n'y a qu'un très petit nombre de bureaux d'enregistrement, de sorte que la prise de contrôle sur les plus grands d'entre eux a fourni des possibilités presque infinies pour introduire la plupart des organisations publiques et privées dans l'échange d'informations, le phishing et d'autres types d'influence.

résultats

Le phishing n'est pas seulement populaire auprès des script kiddis qui louent l'accès à des services malveillants tels que Phishing-as-Service ou Extortion-as-Service. L'efficacité et le bon marché relatif de cette méthode en ont fait la principale et parfois la seule arme des groupes les plus dangereux. La multitude d'options pour l'utiliser entre les mains des criminels: avant de compromettre la correspondance commerciale, la plupart des solutions de protection passent, et la crédulité et la distraction des utilisateurs seront un support fiable pour les attaques frauduleuses pour longtemps.
La protection des systèmes informatiques et des équipements réseau est sans aucun doute une tâche importante ainsi que l'installation en temps opportun des mises à jour de sécurité, mais compte tenu des graphiques des tactiques de cybercriminalité, les mesures liées à la protection contre le facteur humain sont prioritaires.

Les informations d'identification interceptées du courrier d'une personne âgée permettront aux criminels de voler des informations sensibles d'une importance particulière, puis d'utiliser ce courrier et ces informations pour mener une attaque en plusieurs passes. Pendant ce temps, une formation banale des compétences et l'utilisation du MFA priveraient les pirates de cette opportunité.

Cependant, les systèmes de défense ne restent pas immobiles, détectant les actions malveillantes à l'aide de l'intelligence artificielle, de l'apprentissage en profondeur et des réseaux de neurones. De nombreuses entreprises développent cette classe, et nous offrons également à nos clients une protection contre les attaques BEC sophistiquées à l'aide d'une intelligence artificielle spécialement formée. Leur utilisation en conjonction avec la formation des employés aux compétences de comportement sécuritaire leur permettra de résister avec succès aux cyberattaques, même des groupes les plus techniquement formés.