Cyber Threat Intelligence [par Adrien Petit, CEIS]

Cadrage

Lors de la Webcom Montréal de mai 2012, IBM estimait que 90% des données dans le monde avaient été créées au cours des deux dernières années[1]. Ce constat était complété par le fait que 2,5 trillions d’octets de données – issus de sources aussi diverses que variées – étaient générés chaque jour[2]. Cette relation a permis de populariser la notion de Big Data. Le traitement de ces volumétries de données est également devenu une préoccupation marketing et commerciale conséquente. Le Big Data occupe de facto une place prépondérante depuis quelques années au sein des discussions axées sur le thème de la cybersécurité.

Après le Big Data, les acteurs de la cybersécurité se positionnent à présent sur le sujet de Threat Intelligence, dont le phénomène de tendance a multiplié la diversité des définitions de la part de ces mêmes acteurs. Il est cependant intéressant d’interpréter cette notion de Threat Intelligence selon les termes qui la compose :

• Threat: « toute circonstance ou événement disposant du potentiel pour impacter un actif par le biais d’accès non autorisé, de destruction, de révélation, de modification de données, et/ou de déni de service »[3] ;
• Intelligence: « l’information qui a été analysée et affinée de sorte qu’il est utile pour les décideurs de prendre des décisions – spécifiquement, celles concernant les menaces potentielles à notre sécurité nationale »[4].

D’un point de vue Cyber, cette notion de Threat Intelligence peut être résumée comme l’ensemble des actions de renseignement – d’origine et/ou d’intérêt cyber – permettant de prémunir toute entité d’une menace potentielle.

Dans cette optique, l’intérêt de l’utilisation du Threat Intelligence se place au niveau des deux premières étapes – Contexte et Actes préparatoires – de la chaîne cybercriminelle afin d’éviter le déclenchement de l’Opération :

 Chaîne cybercriminelle

Le concept de Cyber Kill Chain[5] introduit par Lockheed Martin permet de représenter les sept actions suivies par un groupe de cyber attaquants dans le cadre d’une attaque. Ses actions sont listées à travers la phase d’Opération de la chaîne cybercriminelle représentée ci-dessus. La première action – de reconnaissance – mentionnée par Lockheed Martin s’apparente dans notre schéma à l’identification des vulnérabilités qui marque donc le début de la Cyber Kill Chain.

L’utilisation du Threat Intelligence dans le monde Cyber rencontre certaines limites au niveau des étapes d’Opération et Publicité. Les actions menées tout au long de ces dernières témoignent de l’activation du Cyber Kill Chain. La menace passe donc d’un statut de « potentielle » à « réelle/opérationnelle ».

Étude de cas d’une banque de détail

L’étude de cas présentée ci-dessous est une synthèse de plusieurs retours d’expérience ayant eu recours à l’utilisation du Threat Intelligence.

Contexte

Au cours du mois de juillet 2014, John Doe – Responsable de la Sécurité des Systèmes d’Information d’une banque américaine de renom – donne une interview dans la rubrique « Technologie » d’un prestigieux quotidien national.

Lors de cette entrevue, Monsieur Doe relate les bons résultats du premier semestre passé et annonce la refonte du site Internet de la banque pour janvier 2015 afin de répondre aux demandes de la part des utilisateurs d’une interface orientée « user-friendly ». Ce relookage sera accompagné par un investissement dans une solution d’authentification forte – un Token – au cours du 2^ème semestre 2015.

L’équipe en charge de l’anticipation des menaces – et donc de prémunir la banque de détail d’éventuelles attaques informatiques – prend conscience de l’opportunité que représente cette annonce pour la communauté cybercriminelle. Cette équipe décide donc d’adopter une démarche proactive en mettant en place une surveillance des canaux de communication (forums et IRC sur le darkweb) utilisés par les groupes de hackers listés lors de leurs précédentes investigations.

Cette surveillance permet d’identifier que l’annonce faite par le RSSI a eu pour écho la naissance d’un mobile de la part d’un groupe de hackers spécialisé dans le phishing. Ce dernier définit donc un nouvel objectif, à savoir l’amélioration du retour sur investissement (rapport entre les bénéfices dégagés et les coûts engendrés) de leurs activités. Ils constatent en effet que les dernières campagnes menées sont de moins en moins profitables. Le choix du mode opératoire, qui vient compléter cette phase de « contexte », se repose sur une campagne de phishing adaptée aux caractéristiques que proposera le futur portail Internet, à savoir une refonte graphique et l’utilisation d’une solution d’authentification.

Actes préparatoires

Une fois le mobile établi, l’objectif défini et le mode opératoire choisi s’ensuit  l’étape des « actes préparatoires ».

Elle débute notamment par l’acquisition de capacités qui peuvent être techniques, matérielles, financières, logistiques, etc. Dans le cas présent, le groupe de hackers doit baser son prochain kit de phishing sur la chartre graphique du futur portail et décide d’observer si des plateformes de test sont mises en ligne. Après quelques semaines, ils remarquent l’enregistrement auprès d’un registraire d’un nom de domaine intitulé « TESTNOMDELABANQUE.COM » déposé par la cible qui s’avère être le site de pré-production présentant le design et fonctionnalités du futur site Internet de la banque de détail.

Le groupe de hackers met donc à jour son kit de phishing et décide de le commercialiser sur le darkweb auprès d’acheteurs issus de leur propre réseau de confiance. Cette phase d’organisation humaine et de recrutement permet de valider le kit de phishing en lui-même et les ressources qui l’utiliseront au cours des futures campagnes. L’introduction du Token nécessite aussi d’étoffer les effectifs et processus : si la première étape du phishing est automatisée via le vol du couple identifiant / mot de passe par un script de récupération, la deuxième étape nécessite quant à elle une intervention humaine et du social engineering  afin de voler l’OTP (One-Time Password). En effet, le fraudeur devra mettre en confiance sa victime afin qu’elle lui transmette en temps réel par téléphone la donnée sensible. Cette action s’apparente à une attaque Man in the Mobile[6] et permet de finaliser la fraude.

L’équipe responsable des actions de Cyber Threat Intelligence décide donc de surveiller les différents blackmarkets traditionnellement utilisés par le groupe de hackers et s’aperçoit rapidement de la mise à disposition de deux nouveaux kits de phishing ciblant la banque de détail. L’équipe procède à l’achat de ces kits via un avatar issu d’une infiltration implémentée depuis quelques mois. L’analyse des kits permet de souligner les capacités d’adaptation quasi-instantanées des fraudeurs et leur montée en compétences : il s’avère que le deuxième kit – certainement utilisé à moyen terme – prend en compte le paramètre de la double authentification via le Token.

Quelques jours avant la sortie officielle de la nouvelle plateforme, le groupe de hackers décide d’identifier les vulnérabilités avant de lancer ses opérations. De nombreux sites Internet sont scannés par des outils qui révèlent des failles communes issues la plupart de temps de CMS non mis à jour. Une fois ces failles exploitées, les fraudeurs téléchargent les kits de phishing sur les sites détournés.

En parallèle de ses actions, l’équipe CTI travaille en collaboration avec de nombreux hébergeurs en leur communiquant les deux versions du nouveau kit de phishing. Cela permet aux administrateurs des différents serveurs web d’implémenter des garde-fous qui se déclenchent dès qu’une des versions est téléchargée sur le réseau. Afin de pas alerter les groupes de hackers de leurs mesures préventives – et par conséquent de limiter le nombre de sites détournées –, les différents hébergeurs ne désactivent pas de manière immédiate les kits de phishing. L’objectif étant d’attendre la première vague de la campagne de test permettant la validation de la fraude, cette dernière étant rapidement suivie par la vague opérationnelle.

Grâce à la mise en place d’honeypot de type spamtrap, l’équipe CTI et les hébergeurs détectent rapidement  la vague de phishing qui a eu lieu peu de temps après l’annonce officielle de la mise en ligne de la plateforme. L’impact de la fraude est très largement limité par la désactivation immédiate des pages frauduleuses identifiées et de manière générale par les différentes actions de Cyber Threat Intelligence.

–Sources–

[1] https://twitter.com/bdescary/status/202470082402717696

[2] http://www.ibm.com/annualreport/2013/bin/assets/2013_ibm_annual.pdf

[3] https://www.enisa.europa.eu/activities/risk-management/current-risk/risk-management-inventory/glossary

[4] http://www.fbi.gov/about-us/intelligence/defined

[5] http://www.lockheedmartin.com/us/what-we-do/information-technology/cyber-security/cyber-kill-chain.html

[6] http://blogs.gartner.com/avivah-litan/2010/09/28/smsotp-under-attack-man-in-the-mobile/