Le Laboratoire de F-Secure vient de publier un livre blanc sur les outils employés par les Dukes, pour collecter des données sensibles liées aux décisions de politiques étrangères et de sécurité.

Les Dukes est un groupe de cyber-espionnage extrêmement bien organisé et doté de nombreuses ressources et qui, selon les laboratoires de F-Secure, travailleraient pour la Fédération de Russie depuis au moins 2008.

erka_koivunenErka Koiyunen, Cyber Securiy Advisor, explique:

Les découvertes de nos laboratoires sont fondées sur des informations qui ont été précautionneusement analysées et corrélées avec nos vastes archives d’échantillons de malware que nous avons accumulés au fil des années. Ces échantillons nous ont été envoyés directement, via des renseignements de sources ouvertes, ou partagés au sein de l’industrie de l’anti-virus. Ce livre blanc met en lumière la vaste étendue de leur fonctionnement opérationnel et de leurs moyens techniques – une révélation pour tous ceux qui s’intéressent à la cybersécurité.

Afin de publier cette étude, F-Secure a coopéré avec les organisations affectées tout en continuant leur analyse en les informant de leurs résultats.

Les Dukes – Comment ça marche ?

Les Dukes visent en premier lieu les gouvernements occidentaux et les organisations affiliées, comme les Ministères et agences gouvernementales, ou les think tanks politiques. Il semble que les Dukes ont constamment visé des entités qui ont un rapport avec les affaires étrangères et la politique de sécurité.

Ces dernières années, les Dukes se sont engagés dans ce qui semble être des campagnes de hameçonnage biannuelles de grande échelle contre des centaines, voire des milliers de cibles associées aux institutions gouvernementales et des organisations affiliées..

Les campagnes des Dukes ont une approche directe et efficace, assez en vogue en ce moment : une effraction rapide et bruyante suivie d’une récolte et d’une exfiltration du plus de données possible. L’efficacité de cette méthode n’est rien de moins que remarquable.

Dans un cas particulier, F-Secure a constaté que la boîte à malware se concentrer à établir un ancrage plus constant pour soutenir une collecte de données plus importante. Les Dukes s’impliquent également dans des campagnes plus petites et plus ciblées.

Les Dukes réagissent rapidement une fois que des recherches sur leurs outils et leurs opérations sont publiées. Ils ne cesseront cependant pas leurs opérations pendant qu’ils modifient leurs outils : la modification sera graduelle, ce qui les laissera à découvert et vulnérables.

Dans certains des cas les plus extrêmes, les Dukes se sont lancés dans des campagnes avec des versions inaltérées de leurs outils quelques jours seulement après que ces mêmes outils aient été dévoilés à l’attention du public par les entreprises de sécurité et rapportées par les médias. Une telle audace de leur part démontre une confiance extrême dans leur capacité à continuer à exploiter leurs cibles même lorsque leurs outils ont été exposés. Reste à savoir si cette audace relève d’une reconnaissance en amont de la posture de sécuritaire de la victime ou juste un signe de tactiques arrogantes.

Aujourd’hui, après plus de sept ans d’opération, les Dukes continuent leurs attaques, et étoffent toujours leurs outils et leurs techniques.

Mika Aaltola, de l’Institut Finnois des Affaires Internationales, explique :

Une caractéristique importante et perturbante du piratage informatique vient de la difficulté d’identifier les auteurs. Ce voile permet aux agresseurs de continuer leurs attaques, ce qui empêche d’établir et de maintenir une dissuasion efficace.

Quelles conséquences sur votre organisation ?

Tout d’abord, les Dukes emploient des e-mails de phishing qui tentent d’infecter les victimes avec un malware. Le hameçonnage à grande échelle par email est une tactique qui fait des émules dans le monde du crime, en ciblant par exemple le secteur financier et d’autres services similaires. Cette méthode est derrière la majorité des cyber attaques. Ce type de hameçonnage par email va de messages qui ressemblent à des spams et envoyés à un grand nombre de personnes, à des emails très ciblés au contenu très pertinent qui ne s’adressent qu’a quelques personnes.

Les Dukes ont par exemple les objectifs suivants :

  • Voler des données
  • Trouver un back-door aux systèmes
  • Faire des captures d’écran
  • Relever le niveau de droit d’utilisateur
  • Voler des mots de passe
  • Des attaques par Déni de Service
  • Acquérir un outil pour diffuser de la désinformation et des impostures sur les réseaux sociaux
  • Télécharger des logiciels malveillants et des mises à jour additionnels

Dans le cas des Dukes, les cibles sélectionnées travaillent d’habitude dans des rôles exposés, comme des ambassadeurs ou autres personnalités politiques de premier plan, dont le travail quotidien est de gérer des enjeux urgents et de communiquer avec un grand nombre de personnes, alliées ou non – ce qui ne les rend pas spécialement prudents lorsqu’il s’agit d’ouvrir une pièce jointe à un email ou un lien qui leur a été envoyé. Ces personnes peuvent véritablement être décrites comme opérant dans un environnement de travail à haut risque.

La formation est un outil très important dans le combat contre les campagnes de hameçonnage à grande échelle telles que celles-là. Les employés exposés aux menaces de hameçonnage et d’attaque par point d’eau doivent comprendre ces risques et apprendre à les reconnaitre les tactiques les plus rependues pour distraire l’utilisateur. Ils doivent également bénéficier de la meilleure protection contre ce genre d’attaques, ce que les organisations doivent être en capacité de fournir.

Erka Koivunen poursuit:

Cependant, il est tout aussi important de faire en sorte que les individus responsables de la sécurité de l’organisation soient accessibles, et disposent de tous les outils nécessaires pour examiner chaque lien, email ou fichier suspicieux de manière isolée. Améliorer le niveau des pratiques de sécurité au sein de l’organisation permet de combattre les risques. Pourquoi envoyer des documents Office avec la macro activée que le destinataire est tout bonnement sensé accepter, ou des fichiers PDF avec JavaScript sans raison apparente ? Réduire ce type de pratiques à risque peut facilement aider à minimiser la surface d’attaque disponible aux pirates.

Les Dukes emploient souvent des leurres comme des fichiers image, des vidéos Adobe Flash, ou des contenus similaires pour distraire le destinataire de l’activité malveillante. Alors que la cible est occupée à étudier le leurre, par exemple une vidéo avec des singes, un rapport à l’air crédible ou une invitation, les Dukes peuvent s’infliltrer dans le réseau et espionner la cible. Il est nécessaire de réaliser que rien n’avertit d’une infection malveillante : il n’y a pas de lumière clignotante ou d’ordinateur qui réagit « bizarrement ». Le système d’exploitation génère un nouveau processus et la victime est tombée dans le filet avant même qu’elle ait pu lire l’en-tête du document-leurre.

Les Dukes ont utilisé des exploits dans leurs attaques, mais d’habitude ils n’en connaissent pas les vulnérabilités ni la conception originale eux-mêmes. Très souvent, il semblerait que le groupe ait simplement recyclé des exploits disponibles publiquement ou utilisé des prototypes.

Comme l’ajoute Erka Koivunen:

On peut très vite constater qu’il a été très facile pour les Dukes de pénétrer les réseaux de la cible encore et encore – une des raisons serait que les organisations prennent leur temps pour mettre à jour les vulnérabilités, laissant la porte grande ouverte aux assaillants qui savent les exploiter.

Ce qui confirme d’autant plus que mettre à jour les vulnérabilités logicielles est une part essentielle de la posture sécuritaire. Ce n’est pas suffisant en soi, mais c’est toutefois essentiel.

Mika Aaltola termine par :

Il est clair que les attaques répétées des Dukes depuis 2008 montrent que la cyber-dissuasion de l’Ouest est faible. Des attaques répétées par le même responsable avec des outils similaires suggèrent fortement un échec dans les méthodes de dissuasion passive et active.

Téléchargez le Livre Blanc technique sur l’histoire des Dukes, qui explique leurs outils et leurs techniques. Renseignez vos coordonnées ci-dessous et nous vous enverrons un exemplaire par email.

Whitepaper exploring the Dukes set of malware tools.

Whitepaper exploring the Dukes set of malware tools

Un commentaire sur “Les Dukes espionnent peut-être déjà votre organisation

  1. Ping : Attaques ciblées : 5 tendances pour 2016 | Visions et Sécurité IT par F-Secure

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s