Utilisateur:Hydrao/Brouillon



Poison Ivy est le nom d’un outil d'administration à distance(RAT). Ce type de logiciel, dont le nom est issu de l’abréviation du terme anglais «Remote Access Tool» , est conçu pour permettre le contrôle à distance d'un ordinateur. Il est important de noter que l'usage peut en être tout à fait légitime, permettant à un technicien informatique ou toute autre personne compétente de dépanner un système informatique à distance. Cependant, les RAT sont aussi très souvent utilisés par des pirates informatiques pour prendre le contrôle total d'ordinateurs, à l'insu de leur possesseur [1] . Poison Ivy est librement téléchargeable depuis 2005 sur son site officiel, à l’adresse www.poisonivy-rat.com. [2] . Son nom désigne littéralement le sumac grimpant, plante sauvage d’Amérique du Nord notable pour la forte réaction allergique qu’elle provoque au contact. Il possède des fonctionnalités communes parmi les autres RAT écrits pour le système d’exploitation Windows, comme l’enregistrement de frappe, la capture d’écran et de vidéo, les transferts de fichiers, l’administration du système, le vol de mots de passe et le relai du trafic [2] .


Faits notables

modifier

Poison Ivy constitue l’un des «RAT» les plus utilisés malgré son âge relativement avancé, son apparition remontant à 2005. Sa facilité d’utilisation, attribuable en grande partie à une interface graphique Windows qui rend très simple le contrôle à distance des machines affectées et la création des fichiers malicieux servant à l'installer. Cette facilité d'usage, combinée à sa grande disponibilité, en fait un des outils de choix pour ceux qu’on désigne sous le terme script kiddie, des personnes privées des connaissances principales en sécurité informatique.

Sa prévalence par rapport à d'autres outils d'administration à distance du genre peut s'expliquer en partie par le fait qu'il chiffre les données volées, retransmises à l'opérateur qui le contrôle, à l'aide de l'algorithme camellia, rendant plus difficile toute tentative d'identifier les données compromises [3] . Comme le dénote la firme de sécurité FireEye, cette notoriété auprès des administrateurs de réseaux les expose au risque de sous-estimer le danger potentiel de ce logiciel, souvent perçu en tant qu'outil d'entraînement pour des pirates novices.

Ainsi, son utilisation massive, notamment à des fins de cybercrimes incluant l'usurpation d'identité et l'extorsion, rend difficile pour les experts responsables de la sécurité informatique de savoir si leur organisation est victime d'une campagne de cybercrime plus large ou est ciblée spécifiquement par un groupe en particulier. Certaines nations sont susceptibles d'être intéressés par le caractère répandu de Poison Ivy lorsque ces derniers mettent en place des cyberattaques, parce que cela assure une certaine discrétion, contrairement à un virus plus sophistiqué écrit spécifiquement pour une attaque, comme Stuxnet, qui risquent de causer beaucoup plus de panique lorsque détectés [4] . La grande puissance de cet outil lui procure cependant un rôle prépondérant dans un très grand nombre d'attaques plus complexes, incluant les Advanced Persistent Threat, des attaques furtives de longue durée contre des cibles précises, puisqu'il accorde potentiellement un contrôle sans limites sur une machine infectée sans que l'utilisateur en soit informé.

En effet, cet outil a été utilisé dans le cadre de plusieurs attaques d’envergure, notamment par plusieurs groupes de pirates informatiques possiblement liés à la Chine comme admin@338, th3bug et mediaPass, de même que lors de la campagne d'attaques "Nitro" et de l'attaque contre la firme RSA. Cette désignation leur vient du mot de passe utilisé pour accéder à Poison Ivy, distinct pour chaque groupe, sur les machines que ces derniers ciblent.

Mise en place

modifier

Poison Ivy se télécharge avec un «building kit», qu'on peut traduire grossièrement par «module d'assemblage», qui se trouve à être un programme avec une interface graphique servant à créer et à personnaliser sa propre version d'un serveur Poison Ivy. En l'occurrence, les utilisateurs peuvent modifier l'adresse et le port auxquels se connectera le serveur Poison Ivy une fois déployé sur un ordinateur distant, de même que le mot de passe nécessaire à l'utilisateur du client pour se connecter au serveur distant. La clé de chiffrement utilisée pour chiffrer les communications entre le client et le serveur est dérivée de ce mot de passe [2] . Une fois le serveur compilé sous forme de fichier binaire, le plus souvent en tant que fichier exécutable Windows, il appartient à l'utilisateur de trouver une façon de le distribuer à la cible. Entre autres, diverses failles ou techniques d'ingénierie sociale peuvent être utilisées à cette fin, se résumant principalement à du harponnage(«spear phising») en ce qui concerne l'ingénierie sociale [5] . Il s'agit d'une forme d'hameçonnage, consistant à fabriquer un message en se faisant passer pour un proche ou une connaissance de la victime, dans le but de la convaincre d'effectuer une action ou de communiquer des informations confidentielles [6]. Une fois installé, l'attaquant a ensuite l'accès complet au poste distant.

Fonctionnement

modifier

Essentiellement, Poison Ivy est constitué de deux parties logicielles[2]: un client et d'un serveur. Il y a plusieurs configurations possibles, mais pour les plus courantes le code du serveur se subdivise en deux parties. Une fois le serveur installé sur l'ordinateur distant, la première partie du code, responsable de la maintenance et de l'initialisation, s'injecte dans le processus explorer.exe de Windows. La seconde partie, qui gère la communication réseau, démarre une instance du navigateur web par défaut et s'y injecte, en terminant par télécharger les fonctionnalités restantes de Poison Ivy. Le serveur contacte ensuite le client Poison Ivy dont il possède l'adresse, puis lui demande des instructions. Il est important de noter que ces communications sont chiffrées avec le protocole camellia à l'aide d'une clé de chiffrement de 256 bits, et que la majeure partie des informations est d'abord compressée avec l'algorithme LZNT1 de Microsoft. Le logiciel possède aussi une option de persistance, qui injecte un «thread» de surveillance en plus dans explorer.exe, ce dernier relançant le serveur Poison Ivy s'il est arrêté de façon inattendue.

Attaques majeures impliquant Poison Ivy

modifier

Attaques «Nitro»

modifier

Les attaques «Nitro» désignent une vague d'attaques survenue au courant de l'année 2011, la mise en place de cette dernière remontant au mois d'avril de la même année. Ce surnom a été adopté en interne par la firme de sécurité Symantec, en raison du fait que parmi les plusieurs types de groupes touchés lors de cette attaque, la majorité des cibles sont impliquées dans la recherche, le développement de même que la manufacture de composés chimiques ainsi que de matériaux avancés. En effet, les victimes comptent 29 acteurs de l'industrie chimique sur lesquels des attaques furent confirmées, en plus de 19 autres dans le secteur de la défense, sur un minimum de 48 compagnies visées. L'étendue géographique de cette attaque est un point intéressant, puisque selon une analyse du trafic réseau d'une durée de deux semaines réalisée par Symantec, 101 adresses IP uniques auraient contacté des serveurs de commande et contrôle (Command and Control), impliquant une infection par Poison Ivy. Ces machines étaient réparties à travers 52 fournisseurs d'accès internet ou organisations différents, dans 20 pays différents.

D'après cette même firme de sécurité, le motif le plus probable de cette attaque est l'espionnage industriel, donc la collecte d'éléments de propriété intellectuelle tels que des documents de conception, des formules chimiques en plus de détails sur des processus de fabrication, cela dans le but d'obtenir un avantage par rapport aux compétiteurs. D'après Symantec [7] , l'origine du système de commande et contrôle ayant servi à orchestrer les attaques serait traçable à une machine appartenant à un homme surnommé «Covert Grove», se décrivant comme un hacker professionnel et habitant en Chine dans la région d'Hebei. Malgré que cette vague d'attaque ait ciblé principalement de grandes entreprises dont plusieurs compagnies faisant partie du palmarès fortune 100, sur une période d'environ deux mois et demi à partir de la mi-juillet, le groupe responsable a d'abord eu pour objectif plusieurs organisations non gouvernementales reliées aux droits de l'homme entre la fin du mois d'avril et le début du mois de mai, puis l'industrie automobile à la fin du mois de mai.

Les attaquants ont en premier lieu fait des recherches sur les cibles désirées, envoyant ensuite un courriel spécifique à chacune d'entre elles. En général, seule une poignée d'employés par organisation a reçu ces courriels, mais dans le cas de l'une d'entre elles, 500 employés environ s'en sont fait expédier, alors que pour deux autres plus d'une centaine de salariés se sont vus ciblés. Malgré que chaque courriel se cache derrière un prétexte particulier, deux méthodes d'approche différentes englobent ceux-ci. La première méthode, visant les cibles plus spécifiques, consistait à simuler un message provenant d'un partenaire commercial bien établi de la compagnie et invitant à une rencontre, alors que la deuxième impliquait un courriel affirmant à l'usager qu'une mise à jour de sécurité quelconque était nécessaire. Des pièces jointes attachées à chaque courriel, soit sous forme de fichier exécutable, se faisant passer pour un fichier texte de par son nom et son icône, ou d'archive compressée protégée par un mot de passe contenu dans le message, contenant un fichier exécutable. La protection par mot de passe avait dans ce cas pour but d'empêcher les systèmes automatisés d'ouvrir celui-ci. Dans tous les cas, il s'agissait d'une archive auto-extractrice, installant Poison Ivy dès lors que l'utilisateur tentait d'ouvrir la pièce jointe. Aussitôt installé, le programme contactait un serveur de commande et de contrôle(C&C) à travers le port TCP 80 à l'aide d'un protocole de communication chiffrée. Les attaquants envoyaient ensuite à la machine compromise, par l'intermédiaire du serveur de contrôle, l'instruction de fournir son adresse IP, la liste des autres ordinateurs connectés au même réseau ou groupe de travail(«workgroup») ainsi que les signatures(«hashs»), issues d'une fonction de hachage des mots de passe enregistrés par Windows. En utilisant les droits d'accès de l'utilisateur connecté ou encore des mots de passe, décryptés à l'aide des signatures obtenues précédemment, pour accéder à d'autres postes, les «hackers» sont parvenus à prendre le contrôle d'ordinateurs supplémentaires, typiquement dans le but d'obtenir les identifiants de l'administrateur du domaine, ou encore de localiser les systèmes contenant les informations à propos de la propriété intellectuelle voulue. Malgré certaines divergences entre l'exécution de chaque infiltration, à partir du moment où les données sensibles étaient localisées, leur mode opératoire consistait à les rassembler sous forme d'archives, à les déplacer sur un système local appartenant au groupe infiltré, servant de serveur d'hébergement temporaire, puis à téléverser ces informations vers un site externe.

Attaque contre la firme RSA

modifier
Un appareil SecurID de RSA, dont les détails d'implémentation ont pu être compromis.

Au cours du mois de mars 2011, la firme de sécurité RSA a été victime d'une attaque de type Advanced Persistent Threat, qui se voulait donc furtive et continue, menée par des attaquants non identifiés. Au cours de cette attaque, des informations concernant le système de jetons de sécurité SecurID de la firme ont été compromis, ces dernières ayant été utilisées un peu plus tard au début de juin de la même année pour mener une attaque contre la société d'armement et de technologie militaire américaine Lockheed Martin, selon le PDG de celle-ci [8] . Les auteurs de l'attaque ont utilisé tout d'abord une technique d'ingénierie sociale, qui dans le cadre de la sécurité informatique consiste à manipuler psychologiquement la cible dans le but de lui dérober des informations confidentielles ou effectuer certaines actions. Dans le cas présent, un courriel se voulant au sujet d'un plan de recrutement pour 2011 de la firme RSA a été envoyé à certains employés, avec lequel se trouvait en pièce jointe un fichier Microsoft Excel déclenchant l'exécution de code malveillant [9] [10] . Celui-ci reposait sur l'utilisation d'une faille de type Zero Day dans le greffon Flash d'Adobe, ce qui veut dire qu'elle était inconnue et donc qu'il n'y avait aucune protection disponible envers l'exploitation de celle-ci. Cette faille a été employée pour installer une variante de Poison Ivy, donnant aux pirates l'accès aux machines de RSA infectées. Dans un deuxième temps, les responsables de l'attaque ont collecté des codes d'accès, fait des recherches pour cibler des utilisateurs ayant des privilèges supérieurs de même que l'accès à des données plus importantes au sein de l'entreprise, puis augmenté leurs droits d'accès sur les machines sous leur contrôle. Des données collectées ont finalement été transmises à un serveur compromis sous forme d'archives RAR compressées et chiffrées, puis récupérées et supprimées du serveur extérieur.

Solutions

modifier

Selon Microsoft, il n'est pas recommandé de tenter de retirer manuellement Poison Ivy d'un ordinateur.

La solution suggérée pour remédier à l'infection est plutôt simple, se résumant à exécuter une analyse complète du système touché avec un logiciel antivirus à jour [11] .

La firme de sécurité FireEye a aussi conçu un logiciel qui permet de décrypter et d'analyser les processus de Poison Ivy, permettant aux chercheurs en sécurité informatique de mieux comprendre les attaques ainsi que les acteurs responsables de celles-ci [12] .

Notes et références

modifier
  1. (en) SICILIANO Robert, « What is a Remote Administration Tool (RAT)? », sur Blog Central McAfee, 16 février2015 (consulté le )
  2. a b c et d (en) « POISON IVY: Assessing Damage and Extracting Intelligence », sur FireEye, (consulté le )
  3. (en) P. MIMOSO, Michael, « Poison Ivy RAT Spotted in Three New Attacks », sur CSO Online, (consulté le )
  4. (en) P. MELLO, John, Jr., « Old Remote Access Trojan experiencing new resurgence among hackers », sur ThreatPost, (consulté le )
  5. (en) FISHER, Dennis, « Poison Ivy RAT Still Giving Users a Rash », sur ThreatPost, (consulté le )
  6. (en) « Le "Spear Phishing" : arnaque nouvelle génération », sur Norton (consulté le )
  7. La description détaillée de l'attaque provient de ce livre blanc par Symantec(en) CHIEN Eric, O'GORMAN Gavin, « The Nitro Attacks: Stealing Secrets from the Chemical Industry », sur www.symantec.com, (consulté le )
  8. DUTHEIL, Christophe, « Contre le piratage, RSA va remplacer ses clés SecurID », sur L'usine nouvelle, (consulté le )
  9. (en) RSA FraudAction Research Labs, « Anatomy of an Attack », sur www.blogs.rsa.com, (consulté le )
  10. Cet article indique que les informations du blog de RSA cité juste avant ont été validées par un porte-parole de la firme, en plus de résumer l'attaque(en) FISHER, Dennis, « RSA: SecurID Attack Was Phishing Via an Excel Spreadsheet », sur ThreatPost, (consulté le )
  11. (en) « Backdoor: Win32/Poisonivy.E », sur Microsoft Malware Protection Center, (consulté le )
  12. (en) « Poison Ivy Dissected: Commodity Tool or APT Weapon? », sur Infosecurity Magazine, (consulté le )