Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Night Dragon : assaut primitif contre l’industrie énergétique

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Night Dragon : assaut primitif contre l’industrie énergétique

1297355506_Firefox.pngUne opération de piratage coordonnée aurait visé depuis au moins deux ans des entreprises de l’industrie de l’énergie et les soupçons se tournent vers la Chine. Fin du pitch.

Ainsi résumée l’affaire « Night Dragon », que révèle aujourd’hui l’éditeur McAfee, pourrait presque passer pour une redite de « l’incident Google » de 2010, voire la récente opération contre un service en ligne du NASDAQ, avec l’effet de surprise en moins.

Toutefois cette affaire représente malgré tout un cas d’école : les attaquants auraient obtenus des résultats significatifs en utilisant des outils et des techniques parfaitement connus et peu avancés. Et il faut se tourner vers l’analyse détaillée de l’attaque pour se rendre compte à quel point, effectivement, un attaquant n’a guère besoin d’outils sophistiqués ni de connaissances très avancées pour pénétrer un réseau.

Ici point de code malveillant avancé à la mode Stuxnet. Dans le cas de Night Dragon les attaquants ont utilisé des outils d’administration à distance standards, des logiciels de casse de mot de passe classiques (gsecdump puis Cain & Abel) et des techniques d’attaque parfaitement connues (telles que l’injections SQL ou l’attaque « Pass the Hash » pour récupérer des identifiants sous Windows).

Le mode d’opération n’a lui non plus rien de très original : les attaquants ont mis à profit des serveurs web compromis par une injection SQL pour rebondir de l’extranet vers des serveurs et des postes de travail du réseau interne. Ils ont ensuite procédé à la récupération de mots de passe à tout va, en se servant dans les annuaires Active Directory ou sur les serveurs et les postes de travail accessibles (le rapport ne mentionne que le cassage de mots de passe locaux mais l’on peut imaginer que les pirates ont également tenté d’intercepter des mots de passe sur le réseau).

Parallèlement à ces attaques des campagnes de spear phishing (phishing personnalisé) ont permis de prendre le contrôle d’ordinateurs mobiles et de compromettre certains accès VPN.

A l’issue de cette campagne de moisson des outils de prise de contrôle à distance ont été déployés sur les systèmes compromis les plus sensibles afin de collecter et transférer des informations propriétaires de valeur concernant notamment le financement de projets de forage de gaz et de pétrole.

Le plus embarrassant, voire déprimant, dans cette affaire est de constater combien des techniques simples peuvent venir à bout des protections commerciales couramment déployées par les entreprises. Car les victimes de cette opération étaient très certainement protégées à minima par des systèmes de détection ou de prévention des intrusion (IDS/IPS) et des antivirus.

Pourtant en ce qui concerne les antivirus il aura suffit aux attaquants de générer des versions « customisées » d’un cheval de Troie largement connu et disponible publiquement sur des sites de téléchargement Chinois pour passer inaperçus. Mieux : dans certains cas les anti-virus étaient tout simplement désactivés sur les machines compromises.

Quant au trafic des chevaux de Troie, censé être intercepté par les IPS, les pirates ont tout simplement modifiés les réglages de proxy des navigateurs Internet Explorer afin de pouvoir communiquer directement avec l’extérieur en contournant tous les filtres et sans passer par un centre de contrôle clandestin installé sur une machine interne. Une erreur d’architecture que les RSSI et DSI concernés vont certainement payer cher !

S’il y a donc bien une leçon à retenir de cette affaire c’est la porosité chronique des réseaux d’entreprises à des techniques de piratage élémentaires :

  • Injection SQL contre des applications web
  • Attaques par dictionnaire contre les mots de passe
  • Chevaux de Troie et outils d’administration connus
  • Modifications arbitraires des réglages du poste de travail

Il serait facile de donner des leçons : les victimes auraient certainement du faire ceci ou installer cela pour éviter d’être compromises. Mais laissons ce discours aux vendeurs qui ne tarderont pas à venir vous expliquer que leur solution aurait pu éviter le désastre. L’important est ailleurs : sans minimiser l’importance d’une bonne stratégie de sécurité peut-être est-il temps de réfléchir concrètement au principe de résilience : plutôt que d’essayer d’empêcher les attaques, acceptons le fait que celles-ci sont l’état normal de l’environnement et que les systèmes doivent être en mesure d’en limiter l’impact et de retrouver un fonctionnement nominal au plus vite.

Il s’agit en définitive du principe de tolérance aux intrusions dont nous vous parlions dès 2009. Entre temps le Conseil de l’Union Européenne a mis en oeuvre une stratégie similaire. « Nous en sommes arrivés à la conclusion qu’il nous faut accepter l’idée d’être attaqués en permanence, faire avec et limiter l’impact des attaques« , nous expliquait l’an dernier Sébastien Leonnet, Administrateur Principal au Secrétariat Général du Conseil de l’Union Européenne. Et lors de la dernière soirée du Cercle Européen de la Sécurité, Eric Walter, Secrétaire Général d’Hadopi, ne disait pas autre chose en expliquant que l’Hadopi ne sécurisait pas outre mesure ses systèmes, consciente que ses détracteurs passeraient de toute manière outre les mesures avancées qu’elle pourrait déployer. Ici la priorité est à une remise en condition opérationnelle rapide des systèmes plutôt qu’à leur défense.

Bien entendu, le concept de la tolérance aux intrusion va bien au delà d’une remise rapide en route après un incident : il aborde surtout les moyens de limiter l’impact des intrusions et de garantir la confiance dans le nouveau système, et c’est là qu’il y a du travail. Mais l’idée est là : lâcher prise sur la prévention.

Alors, êtes-vous prêt à tolérer vous aussi les intrusions, ou finirez-vous dévoré par les dragons nocturnes ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.