APT épisode III : Autopsie de l'attaque de RSA

Qu’est-ce qu’on a ? Une attaque ? 
Prenez les constantes. ECG, NFS, Chimie, Iono… 
Il fibrille…Apportez le chariot de réa ! On le perd ! Les palettes… Vite !
Chargez à 400… On dégage…. Encore ! Biiiiiiiiiiiiiiiiip.  
On ne peut plus rien faire. Heure de la mort :  printemps 2011. Cause? Inconnue. Descendez le patient au légiste… 

Petite devinette : Quelle entreprise de sécurité a été piratée au printemps ?

Réponse :

RSA Security – connue pour son système d’authentification forte SecureID – a annoncé le 17 mars avoir été victime d’une intrusion et d’un vol de données liées à son algorithme de génération d’authentifiants. Suite à cette attaque, au moins deux des clients de RSA ont eux-mêmes été victimes d’une intrusion.

Mais que s’est-il passé ?

Il est acquis aujourd’hui que les véritables cibles de l’attaque étaient Lockheed-Martin et Northrop-Grumman, deux entreprises américaines appartenant au secteur de la Défense. Ces deux entreprises étant protégées par des mesures d’authentification implémentées par SecureID. Les hackers ont tourné leur attention vers RSA, et sa maison-mère, EMC.

Le 3 mars, quatre collaborateurs d’EMC reçoivent un e-mail.

Ce message parait avoir été envoyé par le webmaster du site de recrutement beyond.com. Il contient un fichier Excel intitulé « Plan de recrutement 2011 ».

Outlook détecte ce message comme suspect et le place dans le dossier « Courrier indésirable ».

L’un des destinataires trouve le mail dans ce dossier et ouvre la pièce jointe, en dépit de l’avertissement d’Outlook. Le fichier Excel était en apparence vide mais contenait un objet Flash qui se lançait à l’ouverture du fichier et exploitait une vulnérabilité inconnue à l’époque (c’est ce qu’on appelle une faille 0-day.) Le code malveillant n’a donc pas été détecté par l’antivirus et a pu installer un RAT (souvenez-vous, un RAT est un outil d’administration à distance) : Poison Ivy.

Pour couronner le tout, ce RAT s’est installé en mode client-serveur inversé, c’est-à-dire que l’ordinateur du collaborateur se considérait comme le serveur et l’ordinateur qui le pilotait à distance comme le client.

L’intérêt de la manœuvre ? Les flux vers l’extérieur d’un réseau sont souvent moins surveillés que les flux vers l’intérieur. En utilisant l’ordinateur infecté comme un serveur, les hackers minimisaient la probabilité de se faire détecter.Poison Ivy se connectait à une url associée depuis septembre 2010 à des activités d’espionnage industriel.

Les hackers sont partis de ce point d’entrée pour s’introduire plus en avant dans le réseau d’EMC et de RSA et finalement obtenir les informations qu’ils souhaitaient sur l’algorithme régissant les SecureID. RSA a pu détecter l’attaque en moins de quinze jours grâce à des outils d’analyse du trafic qui observaient des flux réseaux inhabituels.

Que pouvons-nous retenir de cette attaque ?

« La sécurité, c’est l’affaire de tous »

L’humain est la tête de pont de la plupart des APT : sans le collaborateur qui ouvre la pièce jointe d’un message identifié comme spam, l’attaque échoue.Un des enjeux de la lutte contre les APT, et  les attaques ciblées en général sera la sensibilisation des utilisateurs : la protection de l’entreprise ne dépend plus seulement du RSSI et de son équipe, ou de la DSI, mais de l’ensemble des collaborateurs.

« L’intérieur n’existe pas »

Dans le cas de RSA, nous sommes en présence d’une APT, non seulement parce qu’il s’agit d’une attaque ciblée, visant un type précis de données, mais parce qu’elle exploitait une faille encore inconnue.Face à la compétence et au haut niveau de technicité des hackers, il devient impossible de baser sa stratégie de sécurisation uniquement sur la sécurité périmétrique. Il faut pouvoir détecter une attaque, même à l’intérieur du réseau.

«  Les bases doivent être solides »

Il ne faut toutefois pas négliger les bases : avoir un anti-malware et des systèmes d’exploitation à jour ainsi que du filtrage url permettant de bloquer l’accès depuis et vers les adresses web connues comme malveillantes.

« Vos partenaires  aussi doivent se protéger »

L’intrusion chez RSA a entrainé au moins deux intrusions dans les systèmes d’informations de ses clients. Le défaut de protection d’un partenaire, qu’il soit client ou fournisseur, peut avoir un impact sur votre sécurité, même si vos systèmes d’information ne sont pas connectés.

Sources : RSA (au moment de l’attaque) – F-Secure – Security Vibes – OBS

Retrouvez nos précédents épisodes sur les APT : Les trois lettres qui font trembler le monde de la sécurité et Le Rat Véreux (Shady RAT).