État des lieux d'Internet / Sécurité : Une année passée au crible
Introduction
Quelle année 2021 ! Même si le monde se rouvre aux échanges petit à petit, l'impact du passage à un monde presque entièrement virtuel en 2020 se ressent encore. De nombreuses grandes entreprises ont adopté un modèle hybride, combinant la possibilité de travailler à domicile et au bureau. Certains proposent même à leurs employés de faire du télétravail indéfiniment. Il est indéniable que la COVID-19 a eu un impact sur notre façon de travailler, de gérer nos activités bancaires, de jouer et de nous détendre. L'expression « Pivotez » a peut-être marqué la culture populaire grâce à la série télévisée Friends, mais elle constitue également le cri de ralliement de l'année 2020, aussi bien pour les entreprises et les particuliers que pour les cyber criminels.
Le rapport « Une année passée au crible » a lui aussi connu un tournant : au lieu d'être publié en format PDF, ce numéro est disponible ici, sur le nouveau blog d'Akamai. L'objectif de ce rapport annuel est de passer en revue et de rappeler ce que nous avons publié au cours de l'année écoulée. Nous le publions directement sur le blog, pour que vous puissiez accéder au rapport ou à un article de blog en un seul clic.
Alors sans plus attendre, voici notre année 2021 passée au crible !
Octobre 2020
Les recherches d'Or Katz sur l'obfuscation JavaScript ont dominé la majeure partie du mois d'octobre 2020. Le premier blog d'Or Katz « Catch Me If You Can » présente cette technique. Bien qu'elle soit considérée comme peu sophistiquée ou évasive, il est difficile de déterminer qu'une page Web est malveillante sans l'afficher et évaluer son contenu. Or Katz a approfondi ce point dans « The Tale of Double Javascript Obfuscated Scam »où il a expliqué comment de nombreux types d'escroqueries ont recours à cette technique, telles que les attaques par hameçonnage et de Magecart. Il présente également un exemple de double obfuscation et de cryptage récemment observé dans une arnaque active par hameçonnage. Dans « Phishing Javascript Obfuscation Techniques Soars »Or Katz complète ses recherches en exposant l'utilisation croissante de cette technique. « Nous avons observé une hausse continue de l'utilisation des techniques d'obfuscation dans les sites d'hameçonnage entre novembre 2019 et août 2020, qui a augmenté de plus de 70 % sur une période de 10 mois. »
Novembre 2020
Larry Cashdollar a découvert une infection dans laquelle un acteur malveillant avait ajouté une vitrine au-dessus d'une installation WordPress existante. Il a décrit ses découvertes dans « WordPress Malware Setting Up SEO Shops ». Le programme malveillant avait écrasé le fichier index.php et ajouté une fonction qui vérifie le paramètre de requête pour une certaine chaîne. Si cette chaîne est trouvée, un site différent est servi. « Il n'a pas fallu longtemps au hacker pour obtenir mes informations d'identification et, une fois celles-ci obtenues, il a utilisé son accès pour télécharger un plug-in infecté par un programme malveillant. »
Nous constatons que les en-têtes de la requête ne sont pas dans l'ordre et que la chaîne User-Agent tente de ressembler à un bot Google (tiré de l'article de blog WordPress Malware Setting Up SEO Shops)
Décembre 2020
L'arrivée du mois de décembre 2020 a été un soulagement. Nous ne savions pas ce que 2021 nous réserverait, mais avec l'autorisation d'utilisation en cas d'urgence accordée au premier vaccin contre la COVID-19 le 11 décembre, nous avions l'impression d'être à l'aube d'un grand changement. Les fêtes de fin d'année se sont traduites par des célébrations et des réunions de famille virtuelles. L'année 2020 a également représenté un défi en matière de cybersécurité, car la quasi-totalité des travailleurs sont passés au télétravail et il a fallu redéfinir les frontières de l'entreprise, ce qui a introduit de nouvelles difficultés. Or Katz a récapitulé l'impact des tendances en matière d'hameçonnage sur une année sans précédent.
Janvier 2021
Nous avons tous abordé 2021 avec l'espoir d'un nouveau départ. Cependant, bien que les campagnes de vaccination démarrèrent pour les employés dits « essentiels », la grande majorité d'entre nous avons commencé l'année encore reclus à la maison. Steve Ragan a remarqué que les criminels avaient un nouveau moyen de cibler les personnes jouant à des jeux populaires. Il constata que les joueurs ne faisaient pas seulement face à des événements au niveau du réseau, comme les attaques DDoS et les attaques par credential stuffing, mais aussi à des attaques visant les modules complémentaires personnels. « Récemment, j'ai eu connaissance d'un joueur de Minecraft qui a été ciblé par un escroc qui demandait le paiement d'une rançon via le service de chat Discord. Ses termes étaient simples : ou le joueur payait environ 20 $ en monnaie du jeu (SkyBlock Gems), ou il subissait une attaque DDoS. Sa victime a cédé à la panique et payé la rançon, ne voulant pas réveiller ses parents et discuter de la menace. Preuve que les criminels tiennent rarement parole, l'escroc a tout de même lancé une attaque DDoS et mis le réseau de la victime hors ligne jusqu'au lendemain. »
Larry Cashdollar s'est également penché sur la transformation offensive du botnet KhasmirBlack. « L'attaque KashmirBlack CVE-2018-9206 scanne une liste de 85 chemins uniques, que l'auteur du botnet semble avoir collectés, soit via Google Dork, soit à partir de ses propres expériences d'exploitation. Ces chemins sont ensuite vérifiés en soumettant des requêtes POST pour y télécharger des fichiers. Le script vérifie ensuite si le fichier de charge utile sssp.php qu'il a téléchargé existe ou non dans les fichiers/le répertoire de téléchargement correspondants. »
Février 2021
Assaf Vilmovski voulait faire ce que beaucoup d'entre nous ont fait en 2020 : étendre le WiFi local de sa maison à tous les étages, pour que chaque partie de sa maison soit connectée à Internet. Cependant, comme cela n'était pas possible pour lui, il a utilisé le routeur supplémentaire pour faire quelques recherches. Assaf Vilmovski a utilisé le DAP-1360 de D-Link et découvert une vulnérabilité en H/W Ver. A1, en F/W Ver. 2.5.5, dans la fonctionnalité ping de l'interface Web.
Le mois de février a également marqué le début d'un déploiement plus large des vaccinations contre la COVID-19, et les criminels n'ont pas laissé passé cette aubaine. Ils ont ciblé les plus vulnérables d'entre nous, en les appâtant sous couvert de la vaccination contre la COVID-19 dans leurs campagnes d'hameçonnage. Steve Ragan a détaillé l'histoire des cyberattaques liées à la COVID-19, y compris d'une vaste escroquerie à la vaccination, contre laquelle le National Health Service (NHS) du Royaume-Uni a mis en garde les citoyens.
Or Katz s'est plongé dans le décryptage d'une nouvelle campagne d'hameçonnage contre les banques britanniques, contournant le système d'authentification à deux facteurs. Le responsable, Kr3pto, est un développeur de kits d'hameçonnage qui élabore et vend des kits uniques ciblant les institutions financières et d'autres marques. « Akamai a repéré plus de 7 600 domaines déployés avec le kit Kr3pro, visant 8 marques bancaires différentes, et exploitant l'hébergement Web commercial pour adapter les différentes campagnes d'hameçonnage afin de ne pas être détecté. »
Evyatar Saias et Chad Seaman ont mené des recherches communes sur un programme malveillant récemment détecté dans une campagne de botnets spécialisés dans le minage de cryptomonnaies. Ce programme malveillant avait commencé à exploiter les transactions blockchain Bitcoin afin de dissimuler son adresse IP C2 de secours. C'est un moyen simple mais efficace de déjouer les tentatives de suppression. « Les opérateurs d'une longue campagne de botnets spécialisés dans le minage de cryptomonnaies ont commencé à déguiser de manière créative leur adresse IP C2 de secours sur la blockchain Bitcoin. »
Mars 2021
Nous avons publié notre premier rapport de recherche État des lieux d'Internet en mars. Pour cette première édition du rapport État des lieux d'Internet, nous nous sommes penchés sur l'année 2020 et avons examiné certains des changements technologiques qui se sont produits. Plutôt que de simplement présenter les tendances mondiales dans leur ensemble, nous avons également inclus une analyse des attaques contre nos propres systèmes pour fournir des exemples concrets. Nous nous sommes dévoilés pour montrer comment Akamai a utilisé Akamai pour se défendre et se protéger tout au long d'une année tumultueuse.
L'une des couches de défense essentielle utilisée par Akamai est Secure Internet Access Enterprise, qui utilise la recherche et les données d'Akamai, complétées par des données de tiers, pour identifier les domaines malveillants et les bloquer au niveau DNS et HTTP. Elle traite plusieurs éléments clés utilisés par les criminels, notamment l'exfiltration, les menaces de commande et contrôle (C2) et l'hameçonnage.
Larry Cashdollar a également découvert un autre mineur de cryptomonnaie Golang le 4 mars. « Les logiciels de minage de cryptomonnaies continueront à évoluer et à tirer parti des dernières vulnérabilités logicielles. Les cybercriminels poursuivront leurs efforts d'exploitation de ces vulnérabilités, telles que l'injection de commande et l'exécution de code à distance, pour monétiser vos cycles processeur. »
Chad Seaman s'est penché sur une récente série d'attaques auxquelles les clients d'Akamai ont été confrontés et qui exploitent un protocole de réseau connu sous le nom de « protocole 33 » ou « Datagram Congestion Control Protocol » (DCCP). DCCP est un protocole réseau « non fiable » plus fiable. « Dans les attaques contre les clients d'Akamai que j'ai observées, 100 % du trafic était constitué de paquets DCCP-Request. Ces paquets sont essentiellement des floods SYN de la variété du protocole DCCP. »
Avril 2021
En général aux États-Unis, le mois d'avril est synonyme d'impôts à payer. C'est pourquoi les criminels s'en prennent inévitablement à ceux qui essaient simplement de remplir leur déclaration d'impôts avant la date limite. Steve Ragan a examiné les tendances de l'activité criminelle autour de cette période de l'année. « Le stress et l'urgence associés à cette période de l'année rendent les victimes très vulnérables à divers types d'escroqueries. Outre l'hameçonnage, la période des impôts est également celle de l'année où les criminels concentrent leurs efforts sur d'autres types d'attaques, notamment l'inclusion de fichiers locaux (LFI), l'injection SQL (SQLi) et le credential stuffing. »
Sur le plan purement humain, le mois d'avril 2021 a été un mois important : il a permis pour la première fois à toute personne américaine âgée de plus de 18 ans de se faire vacciner contre la COVID-19.
Mai 2021
Akamai contribue depuis longtemps à la rédaction du rapport annuel Data Breach Investigation de Verizon, et cette année n'a pas fait exception. Martin McKeay étudie les sujets abordés dans le rapport de cette année et certaines des principales conclusions, notamment l'impact de la COVID-19 sur le trafic et les schémas d'attaque. « Je trouve beaucoup d'inspiration dans le travail de l'équipe Verizon, en particulier dans les partenariats qu'elle a établis au fil des ans. Notre prochain rapport État des lieux d'Internet / Sécurité, intitulé Hameçonnage dans le secteur de la finance, est le reflet de notre propre engagement à nous associer à d'autres organisations pour produire les meilleures recherches possible. »
Notre premier rapport complet État des lieux d'Internet / Sécurité : hameçonnage dans le secteur de la financea également été lancé en mai. Tirant parti des recherches et des données de la société de renseignement sur les menaces WMC Global, ce rapport se concentre sur le secteur des services financiers. Les attaques Web et les attaques d'applications étaient élevées en 2020 et ne montrent aucun signe de ralentissement dans un avenir proche. Akamai a observé 6 287 291 470 attaques Web dans le monde, dont 736 071 428 uniquement contre le secteur des services financiers. Ce rapport se penche sur l'hameçonnage en tant que service, avec l'exemple du kit d'hameçonnage Ex-Robotos.
Larry Cashdollar a poursuivi ses recherches et a découvert une infection roumaine de minage de cryptomonnaies. « Bien que les programmes malveillants spécialisés en minage de cryptomonnaies ne constituent en rien une nouveauté, il était intéressant de trouver un paquet qui s'éloigne des paquets tar mal zippés que j'ai l'habitude de trouver. Ce mineur installe XMRig et Perl DDoS IRC Bot v1.0, et il dissimule son activité de minage de cryptomonnaies en utilisant un rootkit semblable à d'autres mineurs de cryptomonnaies signalés. »
Juin 2021
Le mois de juin a marqué la moitié de l'année 2021, et notre nouveau rapport de recherche État des lieux d'Internet : pandémie et jeux vidéoa été publié. Les jeux vidéo ont été un refuge pour de nombreuses personnes dans le monde, y compris au sein de notre équipe, en particulier en plein cœur du confinement. Si l'industrie du jeu vidéo a connu une baisse des attaques DDoS, elle a également connu une croissance plus importante du trafic global des attaques que toute autre industrie en 2020.
2020 a été difficile, on ne peut le nier. Alors que nous étions tous chez nous à nous adapter à la « nouvelle norme », en essayant de trouver un équilibre entre le travail, l'école et l'existence quotidienne pendant la pandémie, beaucoup de personnes se sont tournées vers les jeux vidéo pour s'évader et maintenir des liens sociaux. Les criminels ont fait de même. Ne vous méprenez pas : bien que leurs intentions soient malveillantes, ils restent des êtres humains. Ils se sont parlé, ont joué à des jeux et, dans certains cas, ont utilisé ce lien social pour coordonner leurs efforts à différents degrés.
Au cours de cette période, Akamai a commencé à travailler sur le nouveau site Web et à mettre en place son blog. Un grand bravo à Julia Tetrud et à ses coéquipiers qui ont travaillé sans relâche pour aider à migrer manuellement et à intégrer notre ancien blog SIRT dans le nouveau blog Akamai.
Juillet 2021
Ryan Barnett a étudié une attaque de ransomware de la chaîne d'approvisionnement contre Kaseya. Le 2 juillet 2021, Kaseya a révélé une attaque active contre des clients utilisant son produit VSAet a exhorté tous les clients sur site à désactiver Kaseya VSA Les hackers, affiliés au groupe de ransomware REvil, ont exploité les vulnérabilités de contournement d'authentification et d'exécution de commandes arbitraires (CVE-2021-30116), ce qui leur a permis de distribuer des crypteurs de ransomware aux systèmes ciblés. Afin d'aider les défenseurs, Kaseya a publié un certain nombre d'indicateurs d'infection (IoC) lié aux attaques de ransomware.
Août 2021
La recherche de programmes malveillants présente de nombreux défis. L'un d'entre eux est l'obfuscation de code et les fichiers binaires intentionnellement corrompus. Pour relever ce genre de défis, l'équipe SIRT d'Akamai a développé un petit outil en C qui peut réparer automatiquement les fichiers binaires intentionnellement corrompus. Elle prévoit également de mettre le projet en open source afin que d'autres chercheurs puissent l'utiliser, et peut-être améliorer et étendre les capacités de l'outil si nécessaire. L'équipe SIRT d'Akamai a détaillé ce projet et son fonctionnement dans « UPX Packed Headaches ».
Article de blog : UPX à l'œuvre et en-têtes p_info tronqués d'UPX Packed Headaches
Septembre 2021
En plein changement de saison, Evyatar Saias a étudié une nouvelle évolution de Kinsing qui cible les systèmes Windows. Ce botnet a retenu son attention et celle de l'équipe SIRT d'Akamai, car il s'est avéré très actif dans diverses régions du monde, notamment dans les Amériques, en Europe et en Asie. Il fonctionne en utilisant la même adresse IP de distribution (194.38.20.199), sans avoir à effectuer de rotation après six mois. Auparavant, la campagne ne visait que les appareils Linux.
À la même époque, Larry Cashdollar a remarqué qu'une pléthore de programmes malveillants spécialisés en minage de cryptomonnaies, empaquetés par UPX et écrits en Golang, ciblaient les systèmes Linux. La principale tactique de ces programmes malveillants consiste à se propager en tirant parti de systèmes vulnérables et d'informations d'identification administratives faibles. Une fois infectés, ces systèmes sont ensuite utilisés pour extraire des cryptomonnaies. Larry Cashdollar a nommé l'échantillon qu'il a examiné « Capoae », en référence à la sortie du code sur son terminal. Les campagnes de minage de cryptomonnaies continuent d'évoluer. L'utilisation par la campagne Capoae de vulnérabilités et tactiques multiples montre à quel point ces opérateurs sont déterminés à toucher le plus grand nombre d'appareils possible.
Octobre 2021
Saviez-vous que la première instance d'une interface de programmation d'application (API) a été créée par Salesforce.com le 7 février 2000, selon le blog API Evangelist ? Ce qui devait à l'origine être une méthode de communication système à système relativement simple est devenu l'un des plus grands moteurs du trafic Internet.
C'est pourquoi nous avons décidé de nous plonger dans le monde des API dans notre rapport État des lieux d'Internet / Sécurité des API : la surface d'attaque qui nous connecte tous. Tout comme en mai, nous avons vu et compris l'importance de collaborer à travers le secteur pour brosser un tableau plus large des tendances que nous observons. En complément de nos propres recherches, nous avons établi un partenariat avec Veracode pour ce rapport, car leurs connaissances de l'espace de sécurité des applications ont contribué à approfondir nos recherches sur les API et les défis de développement.
Comme le montrent nos données, les hackers sont de toute évidence à l'affût de nouvelles techniques et méthodes d'attaque, et les fonctionnalités API comptent parmi leurs principales cibles. Les équipes s'orientent vers la mise en place de la sécurité dans le cycle de vie du développement, mais ce processus est lent. Les organisations se retrouvent ainsi en mauvaise posture et sont parfois obligées de lancer du code vulnérable connu, parce que l'utilisation de ce code est indispensable à leurs activités.
Conclusion
Il est toujours incroyable de constater tout ce qui peut se passer en un an. Une chose reste cependant inchangée : l'État des lieux d'Internet continuera d'évoluer, qu'il s'agisse de ce rapport et d'Internet lui-même. Les deux dernières années nous ont montré qu'Internet est un élément essentiel de la vie quotidienne qui englobe tout, de l'école au travail, en passant par le commerce et les loisirs, les services bancaires et la communication.
La collaboration à travers le secteur est essentielle pour dresser un portrait complet des évolutions d'Internet dans son ensemble. La collaboration intercommunautaire est primordiale pour comprendre et affronter les menaces et les problèmes en constante évolution que nous continuerons de rencontrer.
Nous ne nous hasarderons pas à faire des prédictions dans cet article, car si 2020 et 2021 nous ont appris une chose, c'est que littéralement tout peut arriver. Seul le temps nous le dira. Pour l'instant, nous vous souhaitons de passer d'excellentes fêtes de fin d'année en toute sécurité. À bientôt en 2022 !
Remerciements particuliers et crédits :
Équipe éditoriale
Martin McKeay, Editorial Director
Amanda Goedde, Senior Technical Writer, Managing Editor
Steve Ragan, Senior Technical Writer, Editor
Chelsea Tuttle, Senior Data Scientist
Équipe marketing
Georgina Morales Hampe, Project Management
Shivangi Sahu, Program Management
Chercheurs
Ryan Barnett, Principal Security Researcher
Larry Cashdollar, Senior Engineer II, Security Intelligence Response Team
Or Katz, Principal Lead Security Researcher
Evyatar Saias, Security Researcher
Chad Seaman, Senior Lead Engineer II, Security Intelligence Response Team
Collaborateurs externes
Chris Eng, Chief Research Officer, Veracode
Ian Matthews, CEO, WMC Global
Jake Sloane, Senior Threat Hunter, WMC Global
Elizabeth Snead, Senior Product Manager, WMC Global
