RAPPORT SUR LES MENACES 2015 - F-Secure
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
RÉSUMÉ SYNTHÈSE 2015 EN BREF Voici quelques-uns des événements majeurs de l'année en matière de cyber sécurité. 08 Ce rapport décrit en détail l'éventail des cyber menaces auxquelles particuliers VULNÉRABILITÉS 15/07 : Piratage de Hacking et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous 15/02 : Démantèlement exposons ici nos remarques concernant les cas connus de malware détectés SÉCURITÉ DES Team, divulgation de 15/07 : Rappels Ford, 15/08 : Google corrige la POURSUITES du botnet Ramnit par données en ligne Range Rover, Prius et faille de sécurité Android par les systèmes de renseignement anti-menace. Nous identifions par ailleurs ATTAQUES PRODUITS Europol Chrysler pour cause de Stagefright 15/09 : Début du plusieurs évolutions et tendances clés dans ce domaine. 15/07 : Fermeture du nettoyage de l'App bug 15/08 : Amazon et forum de piratage Store pour éradiquer 15/07 : Signalement de la Chrome abandonnent Darkode par le FBI XcodeGhost faille Android Stagefright les pubs Flash Ce rapport introduit la « chaîne de contamination », un concept analytique permettant d'aider les lecteurs, en particulier ceux qui travaillent dans le domaine de la cyber sécurité et des technologies de l'information, à cerner les combinaisons de tactiques et de ressources des pirates. Ce modèle a été PRINCIPALES FAMILLES DE MALWARE Njw0rm a été la nouvelle famille de 12 EFFRACTION DANS LE JARDIN CLOS Fin 2015, l'App Store d'Apple a été victime d'une série d'incidents dus 18 PRÉSENTATION DES DUKES Les membres des Dukes forment un groupe de cyber espionnage 20 appliqué à certaines des menaces les plus courantes en 2015 (kits d'exploitation, ransomware et piratages DNS, entre autres) afin d'illustrer comment les cyber criminels compromettent la sécurité des internautes. malware prédominante en 2015. à l'utilisation d'outils infectés par des hautement spécialisé, extrêmement bien organisé et doté de nombreuses ressources. Ce rapport contient également des éléments clés concernant le penchant développeurs, créateurs malgré eux d'applications malveillantes. Passant outre Ils travailleraient pour la Fédération de actuel des pirates pour les vers, les exploits et les macro-malware, mais aussi le contrôle d'Apple, elles se sont immiscées Russie depuis au moins 2008 dans le but de le recours croissant aux crypto-ransomware par les racketteurs en ligne ainsi Njw0rm dans sa plateforme et, de là, dans les recueillir des renseignements permettant que l'utilisation et l'efficacité grandissantes des kits d'exploitation visant les Angler périphériques iOS d'internautes. d'influer sur les décisions prises en matière de politiques de sécurité et d'affaires vulnérabilités Flash. De plus, il souligne l'importance des divers incidents de étrangères. cyber sécurité survenus en 2015, notamment la découverte du bug XcodeGhost dans l'App Store d'Apple et le démasquage des Dukes, un groupe de menaces 23 28 Gamarue avancées persistantes. Sans oublier certains signes laissant penser que la Dorkbot CHAÎNE DE CHAÎNE DE rencontre entre géopolitique et cyber sécurité ouvre la voie à une course au CONTAMINATION CONTAMINATION cyber armement. Nuclear La chaîne de contamination Étapes Kilim est un modèle axé sur les utilisateurs qui illustre les combinaisons de tactiques et Les informations fournies sur les menaces observées à l'échelle mondiale sont Ippedo de ressources utilisées pour infecter leurs étayées par des statistiques détaillées par pays et zones géographiques pour Dridex périphériques et leurs réseaux. Il comporte les plus courantes d'entre elles. Il en ressort clairement que, si le monde entier WormLink quatre grandes étapes : inception, est connecté via Internet, les pirates sont à même de développer et distribuer intrusion, infection et invasion. INCEPTION des ressources leur permettant de cibler plus efficacement leurs victimes Les redirecteurs sèment la panique parmi les particuliers et les entreprises. aux USA et dans l'UE (p. 28) INTRUSION AnglerEK domine Flash (p. 29) INFECTION L'ascension des crypto-ransomware (p. 31) Auteurs Edilberto Cajucom Laboratoire • Patricia Dacuno Threat Intelligence, Laboratoire • Karmina Aquino • Threat Intelligence, MENACES PAR ZONE Laboratoire • Broderick Aquilino Malware Protection, Laboratoire • Alia Hilyati Antimalware Unit • Sarah Jamaludin Antimalware GÉOGRAPHIQUE Unit • Adam Pilkey Global Communications & Brand • Melissa Michael Global Communications & Brand L'Europe a été particulièrement INVASION touchée par le kit d'exploitation Angler. Piratage DNS en 2015 : des De plus, elle a fréquemment été la botnets, des téléchargeurs et des Contributeurs cible de Trojan:JS/Redirector ainsi voleurs d'informations (p. 33) Mikko Hypponen Laboratoire • Sean Sullivan Security Advisor • Andy Patel Technology Outreach • Zimry Ong Malware Protection, 15 que d'attaques par fichiers contenant Downadup pourrait-il se refaire Laboratoire • Artturi Lehtiö Threat Intelligence, Laboratoire • Janne Kauhanen Cyber Security Services • Dariusz Jastrzebski Cyber des macros qui téléchargent des une santé grâce à l'Internet des ransomware. objets ? (p. 34) Security Services 02 03
AVANT-PROPOS TABLE DES MATIÈRES 01 02 Avant, les conflits survenaient pour une question de frontières. Il y a bien longtemps, nous érigions des remparts autour de nos villes pour nous défendre. Ils nous protégeaient de nos ennemis. Au fil du temps, ces remparts sont devenus plus hauts, plus longs, plus larges. Or, plus ils s'allongeaient et s'élargissaient, plus ils se faisaient invisibles autour des zones de richesse, de prospérité, de puissance et de croyance qu'ils délimitaient. Finalement, GÉNÉRALITÉS RÉTROSPECTIVE ces remparts sont devenus des frontières qui sont restées l'objet de tous les conflits pendant des siècles. L'époque était alors aux désirs de conquêtes 02 Résumé 08 2015 en bref territoriales et de conversion religieuse des populations. Les guerres et autres conflits ont toujours été alimentés par les technologies, 03 Synthèse 10 Résumé des menaces comme celles de la poudre, des lames en acier et des avions de chasse. Ce 04 Avant-propos 10 Malware par type sont immanquablement ces incroyables possibilités technologiques qui se distinguent le plus durant ces périodes sombres. La guerre a toujours été un 05 Table des matières 11 Pays qui en signalent le plus moteur de développement technologique, et inversement. 06 À noter 12 Principales menaces C'est ainsi que la guerre froide a produit un effet collatéral : Internet. Cherchant 35 Conclusion 12 Principales familles de malware à maintenir une chaîne de commandement en cas de guerre nucléaire, 36 Sources 12 Tendances des principales familles l'armée américaine a conçu Internet dans ce but, comme une infrastructure militaire. En développant Internet, l'humanité a ouvert la voie à une toute 40 Annexe 13 Principaux génériques et familles nouvelle façon de se faire la guerre. Qui plus est, Internet n'est pas une zone géographique et ne connaît pas de frontières. Cette création a ouvert la boîte 40 Rapports nationaux héritées de Pandore dans un environnement dépourvu de délimitations tangibles, sans 47 Descriptions des menaces 13 Tendances des principaux ennemis identifiables. génériques et familles héritées Par ailleurs, les anciens conflits étaient de nature symétrique, armée contre armée. Aujourd'hui, la technologie guerrière a évolué. Nous ne savons plus qui 14 Malware Mac sont nos ennemis ou ne sommes plus en mesure de les décrire ni d'identifier leurs objectifs et leurs motivations. Nous nous lançons dans une bataille, 14 Malware Android armés de technologies que nous ne maîtrisons pas complètement, contre 15 Menaces par zone géographique des ennemis tapis dans l'ombre… et l'issue reste insondable. Contre qui nous 03 04 battons-nous ? Des pirates ? Le collectif Anonymous ? La mafia russe ? La Corée du Nord ? Les conflits sur Internet sont complexes. La seule chose dont nous pouvons être sûrs, c'est que nous assistons au début d'une nouvelle course à « NOUS NOUS l'armement : une course au cyber armement. LANÇONS DANS ÉTUDES DE CAS CHAÎNE DE CONTAMINATION MIKKO HYPPÖNEN Chief Research Officer @mikko UNE BATAILLE, 18 Effraction dans le jardin clos 23 Un modèle axé sur les utilisateurs ARMÉS DE 20 Présentation des Dukes 24 Étape par étape TECHNOLOGIES 25 Principales menaces par étape 26 Njw0rm QUE NOUS NE 27 CosmicDuke MAÎTRISONS PAS 28 Étapes COMPLÈTEMENT, 28 Inception CONTRE DES 29 Intrusion ENNEMIS TAPIS 31 Infection DANS L'OMBRE » 33 Invasion : Infiltration 34 Invasion : Infestation 04 05
07 À NOTER Flash : Le dernier des maillons faibles Les exploits malveillants sont monnaie courante depuis plus de 10 ans. Tant et si bien qu'en 2006 les analystes de l'Institut InfoSec ont commencé à appeler plaisamment « Exploit Wednesday » le lendemain du « Patch Tuesday » de Microsoft. Tout reposait sur la réactivité. Le mardi, Microsoft livrait ses mises à jour, que les pirates disséquaient rapidement dans la foulée pour en identifier les vulnérabilités sous-jacentes. Armés de ces informations, ils créaient alors un exploit à intégrer à leurs malware visant les internautes qui n'avaient pas encore mis leur système à 02 jour. RÉTROSPECTIVE Fin 2006, les malware se sont encore plus démocratisés avec l'arrivée des kits malveillants. Les premiers de ces kits, comme MPack, furent victimes de leur succès : pas assez évolutifs, ils furent en effet incapables de satisfaire une demande en constante augmentation. Toutefois, les services malveillants ont bien vite pris la relève et les marchés noirs du web proposent maintenant de nombreux kits d'exploitation. Aujourd'hui, fini l'« Exploit Wednesday ». Le logiciel Microsoft [1] est nettement plus sûr qu'il y a 10 ans et s'accompagne d'un déploiement accéléré des correctifs. C'est désormais Adobe que les kits d'exploitation prennent pour cible. Le programme Reader en a particulièrement fait les frais un certain temps (Flash aussi), avant de devenir quasi superflu avec l'avènement de la prise en charge des PDF en natif dans plusieurs navigateurs. Adobe a alors adopté des cycles de mise à jour stricts qui ont mis Reader à l'abri un moment. Le plug-in pour navigateur Java, maillon faible de la chaîne, est 08 2015 en bref ensuite devenu la cible privilégiée des attaques. Les développeurs l'ont alors plus ou moins restreint 10 Résumé des menaces à de très rares utilisations. 11 Pays qui en signalent le plus Donc, à présent… le lecteur Flash d'Adobe est le dernier plug-in offrant la meilleure prise aux kits d'exploitation. Mais pour combien de temps ? 11 Malware par type Le 29 avril 2010, Steve Jobs a publié une lettre ouverte intitulée Thoughts on Flash (Pensées sur Flash) 12 Principales menaces expliquant pourquoi Apple ne voulait pas de Flash sur ses périphériques iOS. Selon de nombreux 12 Principales familles de malware analystes technologiques, cet événement a signé le début de la fin pour Flash Player, au moins sur les appareils mobiles. C'est désormais avéré. Le 28 juin 2012, Adobe a annoncé que la certification 12 Tendances des principales familles Flash Player ne serait pas disponible sur l'Android 4.1 et qu'il limiterait ses installations via Google Play 13 Principaux génériques et familles héritées à partir du15 août 2012 [2]. 13 Tendances des principaux génériques et familles héritées Depuis, le lecteur Flash tient bon sur le marché des ordinateurs de bureau, mais il est critiqué de toute part. Ainsi, en août 2015, Amazon a annoncé qu'il n'accepterait plus les publicités en Flash à compter 14 Malware Mac du 1er septembre 2015. Google a suivi le mouvement en février 2016. Dans cette optique, AdWords et 14 Malware Android DoubleClick, ses réseaux publicitaires, n'afficheront plus de publicités en Flash à partir du 30 juin 2016. Elles y seront complètement désactivées à partir du 2 janvier 2017. 15 Menaces par zone géographique À ce stade, j'avancerais une prévision pour début 2017 : dès qu'il pourra se passer de prendre en charge les publicités en Flash, le navigateur Google Chrome commencera à forcer les internautes à autoriser tous les sites nécessitant la technologie Flash et sera suivi de près par Mozilla Firefox et Microsoft Edge. Ainsi, d'ici le printemps 2017... Flash ne sera plus d'aucune utilité aux kits d'exploitation. Les kits d'exploitation ont un avenir chaotique devant eux, sans nouvelle cible prometteuse à l'horizon. Les services malveillants, toujours plus répandus, intensifieront leurs envois de pièces jointes, comme le macro-malware qui fait fureur actuellement. Si seulement nous perdions le réflexe de cliquer sur « OK » pour nous débarrasser des boîtes de dialogue… SEAN SULLIVAN Security Advisor @5ean5ullivan 1 À l'exception de Silverlight, actuellement cible de kits d'exploitation. Heureusement, Silverlight devrait bientôt disparaître puisque Netflix s'en détourne. 2 Ironie du sort, bon nombre de malware s'insinuent dans les appareils Android par le biais de publicités trompeuses pour une mise à jour Flash obligatoire. Même en l'absence de lecteur Flash, l'habitude mène parfois à l'ingénierie sociale. Les chercheurs de Google ont commencé à configurer le navigateur Chrome de façon à signaler les sites affichant ce type de publicité. 06 07
2015 EN BREF Octobre [ L'année 2015 s'est révélée mouvementée en matière de sécurité et de confidentialité en ligne. Voici quelques-uns des événements majeurs survenus qui influeront sur les interactions des internautes et leur rapport à la technologie. Nos sources sont répertoriées à la page 36. ] USA - CISA : Adoption Octobre Décembre INTERNATIONAL Octobre par le Sénat malgré des USA - DMCA : Chine : Inquiétudes Août Septembre inquiétudes Novembre UE/USA : Davantage de produits au sujet de la loi USA : Sanctions prévues Chine/USA : Entretien Invalidation de USA : Fin des écoutes antiterrorisme contre la Chine pour de « piratage légal » cyber sécurité avant la l'accord Safe Harbor téléphoniques massives cyber vol visite officielle de la NSA Octobre Février Juillet Perturbation de Octobre Octobre Octobre Octobre Juillet Démantèlement Fermeture du l'activité du kit Chine : Arrestation UE : Raids policiers USA : 4,5 ans de prison R-U/USA : du botnet Ramnit forum de piratage d'exploitation de pirates sur liés au malware pour le créateur du Inculpation du Chine : Mise à jour par Europol Darkode par le FBI Angler requête des USA DroidJack botnet Citadel créateur du des lois relatives au botnet Dridex contrôle d'Internet SÉCURITÉ POURSUITES NUMÉRIQUE Juillet Septembre Piratage de Hacking Décembre ATTAQUES Team, divulgation de Attaque DDoS « lancée depuis des Signalement VIE EN LIGNE données en ligne pubs sur mobile » d'attaques DDoS sur Septembre des serveurs turcs Début du nettoyage de l'App Store pour éradiquer Septembre Mars Juillet XcodeGhost Développement Malware Turla Montée des des outils de « en contact C&C ransomware par satellite » Septembre cyber criminalité Identification de des Dukes MALWARE nouveaux outils des Dukes Août Août Août Octobre Octobre SÉCURITÉ DES PRODUITS Google lance les mises Google corrige la Amazon et Chrome Retrait de bloqueurs Correction de plusieurs à jour de sécurité Nexus faille de sécurité abandonnent les de pub dépassant les failles par les mises à mensuelles Android Stagefright pubs Flash limites de l'App Store jour Apple PARTICULIERS VULNÉRABILITÉS Août Signalement de la Juillet Août Août Septembre Juillet faille Certifi-gate Septembre Signalement de sur Android Signalement d'un exploit Rappels Ford, Sortie du Démonstration Envoi postal la faille Android déjouant Gatekeeper sur Range Rover, Prius correctif de piratage Chrysler de Stagefright Mac OS X et Chrysler pour antipiratage d'une Corvette clés USB avec cause de bug OTA pour la par des correctif Tesla Model S chercheurs logiciel Mars Octobre Détection de Signalement de la faille FREAK la faille Android sur Android et Stagefright 2.0 Windows 08 09
RÉSUMÉ DES MENACES Si la typologie des menaces observées en 2015 reprenait Ils s'en prennent toujours aux particuliers et entreprises qui Démasquage des Dukes plusieurs tendances relevées en 2014, elle affichait également utilisent des logiciels dépassés ou non corrigés (par exemple, les Les APT sont des programmes perfectionnés, en général conçus des divergences significatives. La surprise est notamment exploits WormLink leur demandent d'ouvrir un fichier contenant spécifiquement dans le but de s'insinuer et rôder en toute un code qui exploite une vulnérabilité). Comme en 2014, ils ont discrétion dans les réseaux et les systèmes d'exploitation. Ces venue du retour des macro-malware qui avaient disparu depuis le début des années 2000. Par ailleurs, la proportion MALWARE PAR TYPE constitué 8 % du total des détections de malware. Toutefois, menaces silencieuses visent les entreprises qui traitent des des vers dans le nombre total de détections de malware a leur contenu malveillant (entre autres, des ransomware) s'est affaires ou des informations de production confidentielles. En 2015 diversifié et aggravé : il est donc plus que jamais nécessaire 2015, le Laboratoire F-Secure a publié un livre blanc exposant BACKDOOR AUTRES DE TROIE EXPLOIT VIRUS augmenté, ce qui est en grande partie dû à l'émergence de CHEVAL de mettre à jour ses logiciels dès la publication de nouveaux le groupe de cyber espionnage à l'origine de cette menace : VER diverses familles dans certaines régions du monde. correctifs de sécurité. les Dukes, créateurs d'une série d'outils utilisés depuis 2008 et Toutefois, les exploits et kits d'exploitation restent parmi les menaces les plus répandues auxquelles particuliers et 67 18 8 6 1 1 Macro-malware développés en continu au cours de ces sept dernières années. Leurs outils (CozyDuke, MiniDuke, HammerDuke et SeaDuke, entreprises sont confrontés en Europe comme en Amérique 2014 L'année 2015 nous a offert une évolution intéressante avec BACKDOOR VIRUS DE TROIE AUTRES EXPLOIT CHEVAL du Nord. Non seulement ils sont fréquemment détectés, mais le retour des macro-malware. Ces documents contenant du entre autres) intègrent tous des fonctions variées telles que le vol VER certains indicateurs ont démontré en 2015 que leurs capacités code malveillant dissimulé ont marqué la fin des années 1990 et de mots de passe, l'ouverture d'une backdoor et le lancement ne cessent de s'étoffer et de s'étendre à de nouveaux vecteurs d'attaque. Le nombre de ransomware « Gendarmerie » a 73 10 8 6 1 1 le début des années 2000. Mais lors du lancement de la suite Office 2003, Microsoft a modifié les paramètres de sécurité par défaut pour empêcher l'activation automatique des macros à d'attaques par déni de service distribué (DDoS – Distributed Denial of Service). diminué en 2015, contrebalancé par l'activité croissante 2013 BACKDOOR AUTRES DE TROIE EXPLOIT VIRUS Bien qu'il soit peu probable que le commun des internautes CHEVAL de plusieurs familles de crypto-ransomware (voir page 31) l'ouverture d'un document, compliquant considérablement la VER tâche des pirates. le rencontre un jour, cet arsenal très ciblé concerne plus opérant par le biais de kits d'exploitation et de macro- malware. Par ailleurs, les autorités gouvernementales et les grandes 63 12 11 9 4 1 Pourtant, à partir de juin 2015, les macro-malware ont retrouvé une place de choix dans les rapports de télémétrie. Loin de précisément et plus directement ceux qui sont liés à des sociétés ou des organes gouvernementaux présentant un intérêt pour les Dukes. POURCENTAGES DES DÉTECTIONS DE entreprises s'intéressent de près aux menaces avancées MALWARE SIGNALÉES figurer parmi les menaces prédominantes, ils ont néanmoins fait persistantes (APT – Advanced Persistent Threats), bien Les vers ont significativement gagné en ampleur leur petit effet dans plusieurs pays d'Europe. Ils se propagent qu'elles n'affectent pas la plupart des internautes. En 2015, en 2015 par rapport aux deux années précédentes. principalement grâce aux pièces jointes des e-mails et utilisent le Laboratoire F-Secure a publié un livre blanc présentant des techniques d'ingénierie sociale pour pousser les internautes en détail les outils utilisés par les Dukes. Nous pensons à ouvrir les documents et à activer les macros, ce qui entraîne que ce groupe de cyber espionnage hautement spécialisé, Considérés comme un type de menace au sens large, les vers l'exécution du code malveillant. PAYS QUI EN SIGNALENT LE PLUS extrêmement bien organisé et doté de nombreuses ressources ont significativement gagné en ampleur l'an dernier. En 2015, travaille pour la Fédération de Russie depuis au moins 2008 les familles de vers représentaient en effet 18 % du total des Les macro-malware et les exploits se ressemblent de par leur dans le but de recueillir des renseignements permettant détections de malware, contre 12 % en 2013 et 10 % en 2014. intention commune, à savoir attaquer en vue d'injecter du Danemark Finlande d'influer sur les décisions prises en matière de politiques de Toutefois, à l'exception du tristement célèbre ver Downadup contenu malveillant. En 2015, il s'agissait notamment de graves Royaume-Uni (prédominant partout dans le monde), la plupart de ces menaces telles que le cheval de Troie bancaire Dridex et de Irlande Portugal sécurité et d'affaires étrangères. Japon crypto-ransomware tels que CryptoWall. Canada Bulgarie États-Unis familles ont seulement été repérées en Asie, au Moyen-Orient Autriche Espagne Vers et, dans une moindre mesure, en Amérique du Sud. Malgré Taïwan Turquie Maroc Chili Chine Éternel leader du classement des détections de menaces, le Malware Android cette poussée, le cheval de Troie (par exemple, Gamarue ou En 2015, l'écosystème Android a vu Slocker s'élever au rang des Colombie Thaïlande Brésil Corée du Sud vieillissant Downadup (alias Conficker) a conforté à lui seul les Suède Singapour Kilim) est resté le type de malware le plus souvent rencontré menaces prépondérantes. Même si les principaux chevaux de Hong Kong vers dans une position prédominante. En parallèle, leur visibilité en 2015. EAU Iran Argentine Oman Troie envoyeurs de SMS sont restés très présents, notamment Grèce Estonie Australie Norvège s'est trouvée globalement accrue grâce à l'émergence de en France, la popularité croissante de Slocker marque un Ukraine Hongrie plusieurs familles parvenues à se propager dans les réseaux de Exploits et kits d'exploitation Afrique du Sud Italie tournant dans le domaine des malware mobiles, qui ciblent France Très présents en 2015, les exploits se sont montrés actifs dans certaines régions du monde. maintenant davantage le contenu stocké sur les périphériques. Roumanie Russie Pologne plusieurs pays. Le kit d'exploitation Angler s'est particulièrement La plus remarquable de ces nouvelles familles est Njw0rm, illustré dans diverses régions du monde, régnant au Royaume- L'action des backdoors (dont CoudW) indique également une Belgique Philippines Mexique Suisse Équateur Allemagne évolution accrue des types de contamination visant les systèmes ÉgypteCroatie un ver VBS qui s'infiltre via des lecteurs amovibles, des pièces Uni, en Suède et en Australie. jointes malveillantes à des e-mails et des téléchargements à la d'exploitation par rapport aux années précédentes. S'il disposait de l'arsenal le plus complet d'exploits déployé dérobée. Essentiellement conçu pour voler des informations, il Tunisie Malaisie a la capacité d'ouvrir des backdoors. Njw0rm a vu ses détections l'an dernier, sa réussite (et celle des kits d'exploitation en Mac et iOS Inde général) semble en partie due à son utilisation de plus en plus Les backdoors représentaient le type de malware le plus souvent nettement augmenter au second semestre 2015 par rapport au détecté sur les systèmes d'exploitation Apple en 2014, ce qui Pays-Bas premier, mais son action a été largement suffisante pour en faire efficace de différents vecteurs d'attaque. La prédominance des Slovénie Serbie signalements de la détection générique Trojan:JS/Redirector offrait un contraste intéressant à la domination sans partage des République Tchèque la nouvelle famille de malware la plus importante de l'année. en apporte la preuve. Les pirates introduisent ce type de cheval chevaux de Troie sur Windows et Android. Sri Lanka Le ver Dorkbot a, lui aussi, fait des dégâts. Il affiche de de Troie sur des sites web légitimes afin de rediriger leurs nombreuses caractéristiques en commun avec Njw0rm. Tous En 2015, l'écosystème Apple a subi sa plus terrible attaque à visiteurs vers d'autres sites hébergeant des kits d'exploitation, ce jour. En effet, durant l'« incident XcodeGhost », des pirates deux s'insinuent par le biais de lecteurs amovibles. Tous deux notamment Angler et Nuclear. Cette attaque a été si répandue ouvrent des backdoors, volent des informations et peuvent sont parvenus à s'introduire dans le très sécurisé App Store l'an dernier qu'elle s'est vu décerner le titre peu glorieux de en infectant des copies de Xcode, l'outil de développement communiquer avec des serveurs distants afin de recevoir des menace principale en Suisse et au Danemark. instructions complémentaires de la part des cyber criminels. d'applications d'Apple, disponibles sur des forums de téléchargement public chinois. Ce faisant, ils ont réussi à insérer L'illustration ci-dessus représente le volume des Toutefois, Dorkbot est aussi capable de se propager en De leur côté, les vulnérabilités Flash ont grandement contribué signalements de détections que nous avons reçus pour intégrant des liens malveillants à des messages instantanés ou à la réussite des exploits, et ce même indépendamment des kits du code malveillant dans des applications qui étaient ensuite chaque pays par rapport à sa population d'internautes sur les réseaux sociaux. d'exploitation. En effet, les exploits identifiés par la détection proposées sur l'App Store. (ceux qui utilisent nos produits de sécurité). générique Exploit:SWF/Salama ont compté parmi les menaces Ces pirates ont tiré parti de la situation toute particulière de Troisième nouvelle famille remarquée, Ippedo a fait l'objet d'un les plus présentes, notamment en Europe et aux États-Unis. Bien Par exemple, malgré son grand nombre d'internautes, assez grand nombre de signalements pour entrer dans la liste la Chine, où les développeurs qui ont du mal à accéder aux peu de signalements nous sont parvenus de la Finlande qu'elles ne jouissent pas de la même ampleur qu'Angler, ces serveurs de téléchargements d'Apple situés à l'extérieur du pays des principales menaces de 2015. Il s'agit là encore d'un voleur deux types d'attaques ont ciblé le nombre apparemment infini comparativement à Oman, qui conjugue vaste d'informations distribué via des lecteurs amovibles. Cependant, se tournent vers des sources locales pour obtenir une copie de population d'internautes et taux de détection élevés. d'internautes qui exécutent des versions vulnérables de Flash. l'outil souhaité. C'est ce qui a permis que leurs applications, ainsi il ne semble pas capable de se propager par d'autres moyens, ce qui réduit considérablement son importance par rapport aux Dans l'ensemble, la menace représentée par les exploits n'a infectées, arrivent sur l'App Store. autres familles. pas énormément évolué par rapport aux années précédentes. 10 11
PRINCIPALES MENACES Njw0rm ver Angler kit d'ex- PRINCIPAUX GÉNÉRIQUES ET FAMILLES HÉRITÉES Trojan.LNK.Gen ploitation Certains malware persistent durant des années. Ils Sality PRINCIPALES FAMILLES forment des « familles héritées » dont la longévité bot DE MALWARE s'explique de multiples manières, notamment par l'infection de nouveaux internautes ou l'altération d'un malware existant afin de réattaquer les mêmes cibles. En général, deux programmes malveillants qui Gamarue Exploit: Trojan: partagent un code ou un comportement spécifique cheval de Certains malware échappent aux détections de famille, Java/ W32/ sont considérés comme membres d'une même famille. Troie Dorkbot mais pas aux détections génériques qui recherchent des Majava Downadup Autorun Les logiciels de sécurité repèrent souvent les différentes ver caractéristiques globalement similaires. Trojan: ver menaces d'une famille au moyen d'une détection qui identifie leurs caractéristiques communes. Les principales menaces observées en 2015 sont W97M/ Malicious (Conficker) Nuclear répertoriées à droite. Elles comprennent aussi bien Macro Exploit: SWF/ Les principales menaces observées en 2015 qui kit d'ex- Ramnit appartenaient à des familles distinctes de malware ploitation Kilim les familles héritées que les détections génériques (identifiées par leur nom complet). La taille des bulles Salama bot sont répertoriées à droite. La taille des bulles est cheval de est proportionnelle à leur pourcentage du total des Worm: proportionnelle à leur pourcentage du total des Troie W32/ détections de malware par nos produits de sécurité sur Ippedo détections de malware par nos produits de sécurité sur l'ensemble de l'année. Kataja Trojan: l'ensemble de l'année. Dridex ver JS/ Redirector cheval de Troie-télé- chargeur Worm- TENDANCES DES PRINCIPAUX Link GÉNÉRIQUES ET FAMILLES HÉRITÉES exploit 1,2 Sur ce graphique, les zones colorées représentent les détections génériques, tandis que les lignes TENDANCES DES représentent les familles de malware. Alors que Trojan.LNK.Gen a sensiblement reculé à l'automne, PRINCIPALES FAMILLES la progression des chevaux de Troie en juin marque le grand retour des macro-malware. Les principales familles présentées ont connu des pics d'activité manifestes tout au long de l'année 1,0 POURCENTAGE DU TOTAL DES DÉTECTIONS 2015. Les détections de nouvelles familles de vers ont enregistré une hausse significative au second semestre. Les variations de leur prédominance respective sont attribuables à plusieurs causes, par DE MALWARE SIGNALÉES EN 2015 exemple la distribution plus active des malware par le biais de campagnes de hameçonnage ou un changement dans la logique de détection d'une famille spécifique. 0,8 0,6 Njw0rm 0,6 ver POURCENTAGE DU TOTAL DES DÉTECTIONS Downadup ver (Conficker) DE MALWARE SIGNALÉES EN 2015 0,4 Dorkbot 0,4 ver Gamarue cheval de Troie 0,2 Sality bot Angler 0,2 kit Ramnit d'exploitation bot Ippedo ver 0,0 JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC WormLink exploit MOIS (2015) 0,0 Trojan.LNK.Gen Trojan:W32/Autorun Trojan:JS/Redirector Worm:W32/Kataja JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC (cheval de Troie « raccourcis ») Exploit:SWF/Salama Exploit:Java/Majava Trojan:W97M/ MOIS (2015) MaliciousMacro 12 13
MALWARE MAC EUROPE 58+42+x 58 % (67 ÉCHANTILLONS) BACKDOOR 115 ÉCHANTILLONS DISTINCTS MENACES PAR ZONE GÉOGRAPHIQUE Bien que les dix principales menaces se soient peu ou prou retrouvées dans pratiquement tous les pays en 2015, les rapports de télémétrie des internautes qui utilisent nos produits dans chaque région du monde présentaient des profils de menaces distincts. L'Europe a été particulièrement touchée par le kit d'exploitation Angler. De plus, elle a fréquemment été la cible du cheval de Troie Trojan:JS/Redirector ainsi La disponibilité du code source pourrait en partie contribuer à que d'attaques par fichiers contenant des macros qui téléchargent des la proportion considérable des ransomware. Certains pays d'Europe ont signalé des taux élevés de Nombre de malware Mac reçus menaces particulières. backdoors parmi les menaces de 109 visant Mac OS X. 115 JANVIER à DÉCEMBRE 2015 100 13+87+x 97 88 13 % (15 ÉCHANTILLONS) CHEVAL DE TROIE 74 TOTAL DES ÉCHANTILLONS Suède Signalement des kits d'exploitation (DEPUIS JANVIER) Angler et Nuclear, ainsi que de 73 % du total des échantillons Danemark Trojan:JS/Redirector comme menaces de chevaux de Troie les plus fréquentes. appartiennent à la famille Signalement de Trojan:JS/ Flashback, un groupe de Redirector, d'Exploit:W32/ 33 35 OfficeExploitPayload et d'Angler malware qui téléchargent 28 des fichiers malveillants en se comme menaces les plus 19 NOMBRE D'ÉCHANTILLONS fréquentes. Finlande connectant à un site distant. REÇUS PAR MOIS 2+98+x 7 10 Signalement d'un nombre élevé de détections de Trojan:JS/ 1EXPLOIT % (1 ÉCHANTILLON) Redirector, ainsi que des menaces Downadup et Angler. 7 3 9 9 5 2 39 14 9 3 9 6 Royaume-Uni Exploit:OSX/CVE-2009-1237 Nombreux signalements du tire parti d'une vulnérabilité kit d'exploitation Angler, de JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DÉC ancienne, possible cause de Trojan:W97M/MaliciousMacro déni de service. et de Trojan:JS/Redirector. 28+72+x 28 % (32 ÉCHANTILLONS) AUTRES Les autres menaces repérées comprennent les applications Pologne Signalement de Trojan:W32/Autorun et du kit d'exploitation Angler comme menaces les plus fréquentes. Seul pays avec présence significative du virus Virtob. potentiellement indésirables (API). Allemagne MALWARE ANDROID Signalement d'un nombre élevé Le TOP 10 DES MALWARE ANDROID représente 25 % du de détections de Downadup, 25+75+N total des malware Android détectés en 2015. d'Exploit:W32/OfficeExploitPayload 2,5 % et de Trojan:JS/Redirector. 2 15 % SLOCKER 2,3 % 25 % 1 3 SMSSEND CHEVAL DE TROIE FAKEINST CHEVAL DE TROIE Chiffre des fichiers CHEVAL DE TROIE Envoie des SMS à des image, texte et vidéo, Ressemble à un programme numéros surfacturés à puis exige une rançon d'installation d'une l'internaute. pour déverrouiller application populaire, mais les périphériques et envoie en fait des SMS à Autriche déchiffrer les fichiers. des numéros ou services Seul pays signalant une présence TOP 10 DES MALWARE ANDROID surfacturés. significative du cheval de Troie 1,7 % 0,5 % bancaire Banker. Détections 4 5 6 7 GINMASTER GINGERBREAK 1,2 % SMSPAY DROIDROOTER 0,5 % fréquentes des chevaux de Troie CHEVAL DE TROIE EXPLOIT CHEVAL DE TROIE EXPLOIT FakePDF Trojan:JS/Redirector. Vole des informations Exploite une vulnérabilité Envoie des SMS à des Accède aux privilèges France confidentielles sur les des systèmes Android numéros surfacturés à racine. Sert aussi d'outil de Seul pays signalant un nombre périphériques touchés et antérieurs à la version l'internaute. piratage si délibérément significatif de chevaux de Troie les communique à un site 2.34 en vue d'accéder exécuté, en vue d'une SmsSend sur Android. Détections Suisse web distant. aux privilèges racine des prise de contrôle racine. fréquentes de Downadup et Signalement de Trojan:JS/Redirector 0,4 % périphériques touchés. Trojan:JS/Redirector. et du kit d'exploitation Angler essentiellement, avec Exploit:SWF/ 8 DIALER 0,3 % 0,2 % Salama comme troisième menace la 9 10 CHEVAL DE TROIE SMSKEY COUDW Affiche constamment une CHEVAL DE TROIE Italie plus fréquente. CHEVAL DE TROIE page plein écran à caractère Envoie des SMS à des Ouvre une backdoor qui Seul pays signalant une présence pornographique qui exhorte numéros surfacturés à permet aux pirates de significative du malware de vol bancaire l'internaute à composer un l'internaute. prendre le contrôle des Expiro. Détections fréquentes de numéro de téléphone. périphériques touchés. Downadup et Trojan:W32/Autorun. 14 15
RESTE DU MONDE Des rapports de télémétrie concernant d'autres régions que l'Europe ont fait état Japon d'une plus grande variété de malware, Outre la constante présence certains pays apparaissant plus touchés que de Downadup, les internautes la moyenne par un type particulier dans leur ont le plus souvent signalé zone géographique. des détections d'Angler et de Trojan:W32/Autorun. Asie Les internautes ont le plus souvent été victimes de fichiers de raccourcis malveillants ainsi que des vers Downadup et Njw0rm. Les menaces liées aux botnets (Sality et Ramnit) ont aussi fait l'objet de signalements fréquents. Inde Le ver Downadup a été la menace la plus souvent signalée, suivie par le bot Sality et le ver Njw0rm. Moyen-Orient Le ver Downadup reste la menace la plus fréquemment signalée, 03 Amérique du Nord suivie par les fichiers de raccourcis malveillants et le ver Njw0rm. ÉTUDES DE CAS La menace prédominante est le kit d'exploitation Angler, suivi par les exploits Salama qui ciblent les vulnérabilités Flash Player. Oman Les internautes ont signalé la présence significative des vers Njw0rm et Dorkbot, ainsi que de Worm:W32/Kataja. États-Unis Les internautes ont signalé la prédominance du kit d'exploitation Angler et d'Exploit:SWF/Salama, suivis 18 Effraction dans le jardin clos par Trojan:JS/Redirector. 20 Présentation des Dukes Afrique Les signalements les plus courants concernent les fichiers de raccourcis malveillants, suivis par ceux du ver Ippedo et du bot Sality. Brésil Outre la constante présence de Downadup, les internautes ont signalé la prépondérance de Trojan:JS/Redirector Océanie et du kit d'exploitation Angler. Les fichiers de raccourcis malveillants et Angler ont fait l'objet du plus grand nombre de signalements. Les exploits Amérique du Sud WormLink se sont également distingués. Les fichiers de raccourcis malveillants constituent les malware les plus courants, talonnés par les vers Downadup et Australie Njw0rm. Le kit d'exploitation Angler, les exploits WormLink et Trojan:W97M/MaliciousMacro ont été les menaces les plus signalées. 16 17
EFFRACTION DANS LE JARDIN CLOS CONTAMINATION AU STADE DE DÉVELOPPEMENT À l'heure actuelle, la plupart des attaques visent les Les chercheurs des entreprises Weibo, Alibaba et Palo Alto APPLE SOURCE TIERCE internautes. Les pirates aiment notamment les piéger de Networks, notamment, ont identifié la source du problème, façon à leur faire télécharger et installer eux-mêmes des à savoir une version contaminée de l'outil de développement PIRATE malware à leur insu (cette tactique est connue sous le nom Xcode d'Apple. Disponible gratuitement sur les serveurs de d'« ingénierie sociale »). Ils affectionnent également une la société, Xcode sert à compiler des applications destinées autre méthode, pourtant techniquement complexe, qui aux plateformes iOS et Mac OS X. Toutefois, comme c'est le consiste à exploiter des failles ou des lacunes permettant cas pour de nombreux autres programmes commerciaux ou d'infecter discrètement les périphériques des internautes. d'entreprise, des services de partage de fichiers en proposent Ces points faibles se trouvent en général au sein d'une des copies téléchargeables aux développeurs qui, pour une Données application ou d'un appareil. Ils sont plus rarement le fait raison quelconque, n'ont pas accès à la plateforme officielle. collectées d'un programme, d'un processus ou d'un système sans Selon les journalistes, la connexion Internet au reste du monde rapport direct avec l'internaute touché. étant ce qu'elle est en Chine continentale, l'accès aux serveurs Cependant, certains pirates préfèrent les chemins détournés. situés à l'extérieur du pays se trouve nettement ralenti, surtout Ainsi, fin 2015, l'App Store d'Apple a enregistré une série pour y télécharger des fichiers volumineux (environ 3,5 Go d'incidents mettant en évidence les ramifications possibles pour la dernière version de Xcode). Cette difficulté a incité DÉVELOPPEURS Appli propre APP DÉTENTEURS des attaques qui obéissent à une autre tactique : le ciblage de nombreux développeurs à se servir de copies de l'outil D'APPLIS STORE D'APPLICATIONS des développeurs. Ces incidents résultaient de l'utilisation hébergées sur des serveurs situés en Chine. Malheureusement, d'outils infectés par des développeurs, qui avaient ainsi créé des lignes de code avaient été ajoutées à certaines d'entre à leur insu des applications au comportement malveillant. elles. Lorsque les développeurs compilaient leurs applications Celles-ci ont réussi à passer outre les procédures de contrôle respectives à l'aide du programme Xcode contaminé, ce code de code d'Apple pour s'immiscer dans la plateforme et, de supplémentaire s'y introduisait discrètement à leur insu. là, dans les périphériques iOS standard des internautes. Le code supplémentaire visait à communiquer des informations stockées sur les périphériques touchés à un Appli + code serveur distant. Cependant, les chercheurs ont vite remarqué malveillant RETRAIT DES APPLICATIONS XCODEGHOST DE qu'il n'existait aucune trace de dommage ni de vol de données L'APP STORE effectif. Il a néanmoins été recommandé aux internautes Apple soumet tous les programmes qui lui sont proposés à un ayant téléchargé des applications infectées de les supprimer mécanisme de contrôle rigoureux avant de les ajouter à son de leurs appareils ainsi que de changer leurs données de référentiel de logiciels, réputé merveilleusement exempt de connexion aux comptes de messagerie ou de réseaux sociaux comportement malveillant. Le tout premier malware détecté associés à ces applications en attendant que les développeurs sur l'App Store en 2012 [1] était l'application Find & Call, qui en fournissent une version propre. des publicités. Là encore, les développeurs ignoraient que Aujourd'hui, la plupart des détenteurs d'appareils mobiles utilisait les coordonnées stockées sur l'appareil touché pour leurs créations étaient infectées de façon à passer outre les ne prêtent plus trop attention à l'avertissement standard : envoyer du courrier indésirable. Au cours des trois années strictes procédures de sécurité et de confidentialité mises en « Méfiez-vous des boutiques d'applications tierces ». suivantes, seuls deux ou trois incidents relativement mineurs place par Apple. Bien que la société n'ait pas précisé le nombre Manifestement, les développeurs ne sont pas plus à l'abri se sont produits et les applications non conformes aux règles AUTRE VICTIME : LA PLATEFORME UNITY Peu après l'annonce de l'incident XcodeGhost, les chercheurs d'applications retirées à cette occasion, la presse l'a estimé que les « internautes lambda » des motifs qui poussent le plus strictes d'Apple se sont vues exclues de sa boutique. à « plus de 250 ». Par ailleurs, l'entreprise basée en Chine à couramment à utiliser quand même ces sources, à savoir : en sécurité chez PwC ont déclaré que des copies clonées En septembre 2015, cette situation idyllique a brusquement de la plateforme Unity en cours de distribution avaient subi l'origine du SDK Youmi a publié des excuses officielles [6] et l'insuffisance de la bande passante, l'accès restreint aux sites tourné au cauchemar lorsqu'Apple a annoncé avoir retiré une modification similaire, ce qui a valu à ces clones le nom spécifié qu'elle « collaborait avec Apple pour résoudre ce web étrangers et l'alléchante disponibilité garantie par les de l'App Store plusieurs applications contaminées par un d'UnityGhost [4]. Unity est un environnement commercial de problème ». référentiels tiers. Dans le but de remédier au moins en partie à programme malveillant du nom de XcodeGhost. Selon les développement tiers qui permet de créer des applications cette situation, la société Apple a annoncé qu'elle prévoyait de journalistes, plus de 30 applications étaient touchées mais iOS (ainsi que des programmes destinés à d'autres systèmes rendre le programme officiel Xcode plus facilement accessible certains ont ultérieurement porté ce bilan à plus de 300 [2,3]. comme Android et Windows). Par chance, dans ce cas, aucune CIBLAGE DES DÉVELOPPEURS aux développeurs en Chine en le proposant également sur des application élaborée avec une copie contaminée ne s'est Collectivement, ces incidents démontrent clairement que les serveurs installés dans le pays [9]. Le point le plus remarquable de cet incident était qu'au remparts protégeant l'App Store ne sont pas inviolables et retrouvée sur l'App Store. Malgré cette récente mésaventure, l'App Store reste plus moins une partie des applications concernées provenaient qu'il est possible d'atteindre les propriétaires de périphériques d'entreprises fiables et renommées dans le secteur du difficile à pirater que l'écosystème Android (où le vecteur iOS en passant d'abord par les développeurs d'applications. En d'attaque le plus simple et le plus efficace reste l'ingénierie développement de logiciels. La plus connue était sans doute effet, à chaque fois, l'outil de développement utilisé en toute l'éditeur de WeChat, un programme de messagerie très RETRAIT DES APPLICATIONS COMPILÉES AVEC sociale). Toutefois, il n'est pas inviolable. Les incidents survenus YOUMI innocence avait été modifié de façon à introduire discrètement soulignent combien il est essentiel de maintenir un contrôle répandu. D'autres applications (Railway 12306, Camcard et un code malveillant dans le produit fini. NetEase Cloud Music, entre autres) comptaient des millions, Un mois plus tard, nouvel incident du même genre : des rigoureux tout au long du processus de développement. En voire des dizaines de millions d'adeptes. Si la majorité d'entre applications étaient supprimées de l'App Store, car elles Ce type d'attaque n'était pas tout à fait nouveau : ainsi, en 2010, effet, non seulement une contamination d'une telle ampleur eux se trouvaient en Chine continentale, bon nombre des recueillaient des informations concernant les internautes un virus avait été décelé qui introduisait du code indésirable met en péril la sécurité des internautes, mais elle ternit la applications touchées étaient également utilisées dans et leurs appareils [5]. Dans ce cas, elles avaient été élaborées dans chaque fichier exécutable créé avec le programme réputation et l'image de fiabilité des développeurs concernés d'autres régions du monde, dont les États-Unis et l'Europe. à l'aide du kit de développement logiciel (SDK – Software Delphi [7, 8]. En revanche, le dernier incident en date a eu sur ainsi que de l'App Store même. Development Kit) tiers Youmi, qui permettait d'y intégrer l'App Store des répercussions publiques sans précédent. >> Sources répertoriées à la page 38. 18 19
Vous pouvez aussi lire