Africa teaching

Cybercriminalité : le piratage politique

Cybercriminalité : le piratage politique

Introduction
La cybercriminalité est un fait; souvent citée pour effrayer les responsables IT, directeurs et autres dirigeants dans le seul but de promouvoir la vente de services et la mise en place de protections coûteuses, cette tendance est actuellement sur le point de se faire rattraper par la réalité. Il est temps de s'offrir une petite balade dans le monde merveilleux du piratage politique.

Bien entendu, cet article ne reflète qu'une opinion propre et se base sur des faits ou analyses que chacun pourra consulter sur le net afin de se faire son propre avis: récemment, la presse s'est faite l'écho de nombreuses affaires liées de près ou de loin à la cybercriminalité. D'autre part, les attaques ciblées sur les individus (phishing, social ou autres) ne sont pas prises en compte ici, les nombreux blogs des éditeurs d'antivirus fournissant déjà de bonnes analyses.

On peut mentionner, très brièvement, plusieurs affaires relativement importantes et récentes:

  • Les attaques chinoises à destination des pays occidentaux,
  •  Les attaques visant l'Estonie,
  •  Les attaques sur un grand nombre de sites en Italie,
  •  Etc.

Le cas de la Chine
Les attaques attribuées à la Chine ont récemment fait la une des journaux, fait rarissime en ce qui concerne les attaques sur Internet, mais qui se justifie par l'ampleur et les cibles avouées des attaques:

  • Systèmes gouvernementaux Francais,
  •  Systèmes gouvernementaux Allemands,
  •  Systèmes gouvernementaux Britanniques,
  •  Systèmes du Pentagone aux USA,
  •  Australie et Nouvelle-Zélande,
  •  Canada,
  •  Etc.


Bien que la Chine ait démenti ces attaques plus ou moins publiquement, les autorités respectives semblent vouloir affirmer que les sources des attaques seraient bien chinoises (certaines adresses IP des attaquants l'indiquent, et ce bien que la majorité des attaques aient été faites en rebondissant sur des machines intermédiaires) et des déclarations officielles auraient même impliqué la fameuse Armée de Libération du Peuple (APL).

Fait intéressant, les attaques ont principalement pris la forme de chevaux de troie installés par le biais de failles dites "client-side", c'est-à-dire touchant les logiciels de bureautique courants. Ces failles sont en effet relativement nombreuses et il en existe beaucoup qui ne sont encore pas publiques ni corrigées par les éditeurs de logiciels. En effet, ces dernières années ont vu l'apparition et le développement d'un marché semi-publique de ventes aux enchères de failles, parmi lesquelles il existe de nombreuses "client-side".


Ici, semi-publique signifie que les lieux (virtuels) de vente et d'enchères sont devenus relativement aisés à trouver: certaines sociétés en ont même fait leur gagne-pain, au grand désarroi des experts en sécurité favorable à la divulgation publique des failles (Full disclosure), dans le but que cela bénéficie à l'ensemble de la communauté.

Pour en revenir au cas de la Chine, il semblerait que la situation ne soit pas aussi claire qu'initialement annoncée.

En effet, de nombreux analystes mettent en cause un certain "manichéisme" dans les déclarations officielles, et suggèrent de tempérer les affirmations en indiquant que les gouvernements victimes seraient eux-mêmes potentiellement impliqués dans les attaques qui leur auraient fourni un "alibi virtuel" en or. Le Cerias se pose d'ailleurs la question, dans son article intitulé "Qui est en train d'attaquer qui?". Loin de dire que la Chine est innocente, le point développé soutient plutôt le fait que les activités d'espionnages provenant de la Chine seraient connues depuis plusieurs années, et que le problème tiendrait plus dans une prise de position subite et unanime des pays occidentaux, sur la base de faits identiques. D'où la thèse évoquée par l'article et plus ou moins appuyée par ce communiqué officiel selon laquelle ces événements et déclarations publiques serviraient des enjeux politiques de plus grande envergure et pourquoi pas une prise de position des pays occidentaux.

Le cas de l'Estonie

Le cas de l'Estonie semble être directement relié à la situation géopolitique de la région. Tout comme la guerre en ex-Yougoslavie avait été relayée sur la cybersphère et avait entrainé un important activisme Serbe, il semblerait que les attaques qui ont touchées l'Estonie en Mai 2007 soient elles-aussi un exemple de "cyber-guerre". A l'heure actuelle, l'organisation et la planification de cette vague d'attaques restent encore méconnues, et l'implication d'un quelconque commanditaire politique ne peut être affirmée (comme souvent): certains se demandent si les attaques ne seraient pas le fait de groupes isolés ayant agit de leur propre chef en réaction aux événements cités ci-dessous.

La chronologie semble démarrer avec la décision du Premier Ministre estonien de démolir un monument érigé à la gloire de l'Armée Rouge après la fin de la 2nde Guerre Mondiale. Les raisons évoquées concernent la remise en cause du véritable rôle de la Russie dans la libération et la reconstruction du pays.

Suite à cet acte, de nombreux blogs russes se sont fait l'écho d'une "vengeance électronique", par exemple en faisant appel à des donations afin de financer l'achat de botnets. Les botnets sont des réseaux de machines contrôlées par des pirates informatiques à l'insu de leurs propriétaires (également appelées "zombies"). Ces réseaux, relativement importants pour certains, sont capables d'exécuter des opérations synchronisées sur l'ordre du pirate, comme par exemple générer un trafic massif ciblé sur un petit nombre de serveurs, en les rendants par la même occasion inaccessibles. Ces attaques sont appelés des dénis de service distribués (DDOS).

Dans le cas présent, les attaques ont démarré début Mai et sont rapidement montées en puissance, générant un trafic 1000 fois supérieur à la normale et surchargeant des portions entières du réseau estonien. Ainsi, certaines mesures ont montré des attaques approchant les 90 Mbps, sur une période de 10 heures, ce qui laisse présumer de l'importance des botnets en cause.

Quoiqu'il en soit, ces attaques ont semble-t-il servi d'électro-choc pour beaucoup de responsables en sécurité et chercheurs en tout genre; le sujet a d'ailleurs été abordé à la Black Hat, et continue à faire couler beaucoup d'encre.


Le cas de l'Italie

L'attaque en cause ici ne concerne en réalité pas que l'Italie, mais bien le monde entier. Cependant, ramenée à l'Europe, l'attaque a principalement visé des sites italiens; certaines sources parlent de 10'000 sites touchés dont 80% basés en Italie. Cette attaque reste mémorable du fait de l'ampleur et des nombreuses victimes recensées.


Ainsi, de nombreux sites web contenaient des codes malicieux, ou plus précisément un code de redirection (iframe) vers les serveurs exploitant les vulnérabilités. Les attaques, relativement récentes, ont été très efficaces: ANI, MS06-044, MS06-006, MS06-014, bugs ActiveX et autres XML overflows. Une fois exploitées, les faiblesses permettent ensuite de prendre le contrôle des victimes, de chercher des informations personnelles, identités ou autres numéros bancaires... Il semble que plus de 80'000 IP distinctes aient été contrôlées par ce biais.

Le plus intéressant dans l'histoire réside dans le fait que ces failles sont toutes testées -et éventuellement exploitées- grâce à un malware ou toolkit appelé MPack (d'où le nom donné à ces événements, "Italian Job"/MPack). Afin de bien comprendre, un malware ou "maliciel" est un outil logiciel permettant d'effectuer des attaques de tous genres; certains outils sont dédiés à des failles bien précises, d'autres plus génériques, mais tous ont pour vocation d'attaquer des cibles données. Rien à voir, donc, avec tous les outils destinés à vérifier, auditer et améliorer la sécurité des systèmes.

Un malware peut revêtir un grand nombre de formes, du simple virus au cheval de Troie capable d'intégrer la machine dans un botnet, en passant par les outils de contrôle à distance (variantes de chevaux de Troie, anciennement Sub7, BO, plus récemment RAT ou autre webshell). Le cas présent concerne donc une infime partie des malwares existants, également appelée "crimeware".

Car MPack n'est pas un cas isolé: il existe plusieurs toolkits en vente au marché noir, tel que IcePack ou TraficPro. De plus, les prix peuvent varier de 20$ à quelques centaines de $, ce qui les rend assez accessibles. Pire encore, certains outils sont accompagnés d'un véritable service après-vente! SecurityFocus a d'ailleurs publié une interview forte intéressante d'un des développeurs de MPack.


Le RBN

Que l'on s'intéresse de près ou de loin aux événements ci-dessus, certains éléments sortent du lot et semblent relativement récurrents. C'est notamment le cas avec le RBN, cité par exemple dans cet article.

Le RBN ou "Russian Business Network" est mis en cause dans beaucoup d'analyses, comme source importante de trafic illicite ou d'attaques diverses. L'article précédent mentionne ainsi:


"(...)is tied closely to the Russian Business Network (RBN), through which many Internet-based attacks take place today. The RBN has become a virtual safe house for attacks out of Saint Petersburg, Russia, responsible for phishing Relevant Products/Services, child pornography, and other illicit operations(...)"

La même source (iDefense) est citée dans un autre article:
"An organized crime network is distributing malware that takes advantage of rootkits and a state-of-the-art HTML injection to phish consumers as they browse the web, according to a new report from VeriSign's iDefense labs. The malware code operates from an IP address registered to the Russian Business Network (RBN). As a result, iDefense advised monitoring network traffic to the remote RBN server at the IP address 81.95.147.107 to look for suspicious activity related to the attack. This isn't the first time RBN has struck innocent users. The address and the group were responsible for the Corpse Spyware Nuclear Grabber/Haxdoor attacks conducted in January 2007." - SC Magazine March 3, 2007

L'auteur du blog identifie même certaines sources de la menace, adresses appartenant au RBN.

Une fois le RBN identifié, il semble que de plus en plus d'événements y fassent référence et les informations ne tardent pas à tomber. Ainsi, cet article sur un administrateur système ayant assisté à une guerre des gangs digitale entre 2 groupes russes, MPack contre Storm, ou les zombies récupérés par le toolkit Mpack contre les machines infectées par le vers Storm. Histoire invérifiable mais tellement romanesque... Les événements sont d'ailleurs repris, en Francais, à cette adresse. Gageons que la série ne fait que commencer, et que de nouvelles aventures nous attendent.


Addendum

Cette énumération d'événements ne recense que les plus "populaires" et ne peut, à ce titre, se vouloir exhaustive ou totalement représentative de la situation mondiale actuelle. En effet, il ne faudrait pas occulter les conflits moins importants voir moins récents qui traduisent cependant l'existance de groupes de moindre envergure ou de moindre motivation: Proche-Orient, attaques de pirates Turcs contre la Suède... D'autre part, il est clair que tous les pays (ou presque) se sont lancés récemment dans une course à l'armement numérique pour logiquement suivre la tendance générale. On notera par exemple la création d'unités spécialisées (Korée, Iran, Russie, etc.) sans oublier des efforts plus conséquents pour les pays occidentaux, notamment les Etats-Unis qui ont mis en place des réseaux secondaires destinés à sécuriser et fédérer leurs actions (JWICS, SIPRnet, NIPRnet...).

Conclusion

La conclusion évidente de cet article est la démocratisation des outils d'attaques, dorénavant accessibles à tout à chacun, ainsi que l'expansion d'une cybercriminalité qui sait se protéger tout en mettant en oeuvre des moyens sans cesse croissants. Cela peut sembler alarmiste, mais n'est rien d'autre finalement, qu'une évolution logique de l'écosystème numérique à l'instar de son équivalent naturel. Dans les 2 cas, en effet, on notera que les motivations et objectifs restent totalement humains; on ne peut donc pas s'attendre à d'autres résultats.



11/03/2010
0 Poster un commentaire

A découvrir aussi


Inscrivez-vous au blog

Soyez prévenu par email des prochaines mises à jour

Rejoignez les 157 autres membres