Guides Tech

Comment une campagne d’ingénierie sociale a trompé les chercheurs d’Infosec

Par Gabriel, le 4 février 2021 — 13 minutes de lecture
Comment une campagne d'ingénierie sociale a trompé les chercheurs d'Infosec

L’ingénierie sociale exploite l’aspect de la sécurité qui ne peut être protégé par les méthodes classiques: la nature humaine. Et certaines attaques sont si bien conçues qu’elles trompent même les chercheurs en sécurité.

Dans un article de blog la semaine dernière, le groupe d’analyse des menaces de Google a détaillé une campagne d’ingénierie sociale parrainée par l’État-nation qui ciblait la communauté infosec. La campagne, que Google a attribuée à une entité soutenue par le gouvernement basée en Corée du Nord, a mis plusieurs mois à établir des liens personnels avec ses victimes en se faisant passer pour des professionnels de l’Infosec travaillant pour une entreprise fictive connue sur Twitter sous le nom de @ BrownSec3Labs.

Selon le blog, les acteurs de la menace ont ciblé les chercheurs en sécurité avec «une nouvelle méthode d’ingénierie sociale». Cela a été réalisé en publiant un faux blog de recherche, en établissant une présence sur Twitter et en créant des profils d’apparence légitime sur les médias sociaux et les plateformes de communication pour se connecter avec des chercheurs en sécurité, en travaillant sur la recherche et le développement de vulnérabilités dans différentes entreprises et organisations.

«Après avoir établi les communications initiales, les acteurs demandaient au chercheur ciblé s’ils voulaient collaborer ensemble à la recherche de vulnérabilité, puis fournissaient au chercheur un projet Visual Studio. Dans le projet Visual Studio, il y aurait également un code source permettant d’exploiter la vulnérabilité. en tant que DLL supplémentaire qui serait exécutée via Visual Studio Bild Events. La DLL est un malware personnalisé qui commencerait immédiatement à communiquer avec les domaines C2 contrôlés par l’acteur », indique le blog.

De plus, l’attaque a compromis les chercheurs qui ont visité le blog des acteurs.

«Dans chacun de ces cas, les chercheurs ont suivi un lien sur Twitter vers un article hébergé sur blog.br0vvnn[.]io, et peu de temps après, un service malveillant a été installé sur le système du chercheur et une porte dérobée en mémoire commencerait à être signalée à un serveur de commande et de contrôle appartenant à l’acteur. Au moment de ces visites, les systèmes victimes utilisaient des versions de navigateur Windows 10 et Chrome entièrement corrigées et à jour », a déclaré le blog.« Leur blog contient des articles et des analyses de vulnérabilités qui ont été divulguées publiquement, notamment « Invité » des messages de chercheurs légitimes involontaires en sécurité, probablement dans le but de renforcer la crédibilité auprès d’autres chercheurs en sécurité. « 

Selon le blog, il s’agit d’une «campagne en cours». Une cible, Richard Johnson, spécialiste de la sécurité informatique chez Fuzzing IO, spécialisé dans l’analyse de la vulnérabilité des logiciels, a confirmé la validité de l’attaque.

« ATTENTION! Je peux confirmer que c’est vrai et j’ai été frappé par @ z0x55g qui m’a envoyé un déclencheur PoC du noyau Windows. La vulnérabilité était réelle et complexe à déclencher. Heureusement, je ne l’ai exécuté que dans VM .. à la fin, le VMDK que j’utilisais était en fait corrompu et non amorçable, donc il s’est auto-implosé, « il écrit sur Twitter.

Johnson a fourni une mise à jour positive le jour suivant.

«J’ai récupéré et déchiffré les clés de registre contenant la configuration et j’ai stérilisé le service, je suis en train de refaire le pilote. J’ai confirmé avec des collègues que seule la visite du blog était suffisante pour obtenir

apparu via Chrome / Brave. J’ai confirmé à plusieurs reprises que ma machine était connectée à leur C&C.  » écrit sur Twitter.

Comment les acteurs de la menace parrainés par l’État ont-ils réussi à tromper certaines des personnes les plus préparées et les moins confiantes de la planète?

La persévérance est la clé

Selon Rachel Tobac, PDG de SocialProof Security, cette campagne a été couronnée de succès, c’est que l’ingénierie sociale et l’établissement de relations ont commencé très tôt, bien plus tôt que ce qui a été observé dans de nombreuses autres campagnes.

« Souvent, vous allez voir des attaquants aller directement à l’attrait, directement au malware dans votre attaque de phishing typique. Ce n’est pas ce qui s’est passé ici. Au milieu de l’année 2020, les attaquants ont commencé à établir des relations, à bâtir une réputation avec leur cibles, la communauté de la sécurité en général et obtenir cette confiance était quelque chose que vous pouvez voir était très important pour eux. « 

Tobac a déclaré à Netcost-Security que ces acteurs de l’État-nation utilisaient ce que le domaine de l’ingénierie sociale appelle les principes de persuasion.

« Le premier que nous les avons vu utiliser serait l’autorité. Ils ont construit une autorité sur le sujet pour être en mesure de diriger les gens vers leur blog malveillant. Ils ont commencé avec un contenu réel et authentique, puis sont passés à l’attaque. Deuxièmement, nous les avons vus utiliser la réciprocité, ce qui C’est là qu’ils discutent des détails personnels les concernant pour obtenir des détails personnels sur leur cible », a-t-elle déclaré. «Ensuite, nous avons vu la preuve sociale en action où ils ont nommé les bonnes personnes sur les blogs, et ils ont armé leur blog, ce qu’ils ont probablement fait tout le temps. La communauté de la sécurité lui faisait confiance parce que cela semblait être du vrai contenu et qu’ils n’allaient pas regarder pour voir s’ils ont été compromis. « 

La quatrième tactique observée par Tobac était l’engagement et la cohérence. « Il s’agit de poser des questions apparemment anodines pour vraiment établir un rapport, donc au moment où ils arrivent aux questions effrayantes, ils se sentent déjà bien, ‘Je parle déjà à cette personne depuis longtemps.' »

Un exemple fourni par Tobac est de demander à un chercheur s’il utilise Chrome.

«Si cette personne dit« oui », alors bien sûr, l’attrait et le logiciel malveillant qu’ils vont utiliser sont un Chrome zero-day contre cette cible. Ainsi, ils personnalisent leur approche en fonction du système d’exploitation que le chercheur examine, le domaine de la recherche pour s’assurer que le malware fonctionnera sur leur machine. C’est extrêmement intelligent. « 

En général, les attaques parrainées par l’État sont généralement plus intenses. Une chose rend leur méthodologie d’attaque unique: la persistance.

«Ils se sont vraiment montrés rassurés et ont établi une relation de confiance avec la communauté de la sécurité et la communauté des chercheurs. Ils avaient un suivi de 2 000 comptes sur Twitter. Ils signalaient de renforcer leur propre travail entre les comptes Twitter. Ces tweets ont généré des centaines de likes et de retweets avant même que les attaquants. a adressé des messages directs aux gens. Ils ont la réputation de parler de recherche et de faire de bonnes recherches. « 

Reed Loden, évangéliste en chef de la sécurité open source de HackerOne, a déclaré à Netcost-Security que la plate-forme de prime aux bogues n’avait jamais vu de chercheurs en sécurité spécifiquement ciblés par des acteurs étatiques à ce niveau de détail et de persistance. Cependant, dit-il, ce n’est pas surprenant.

« De nombreux personnels de sécurité ont un accès privilégié en raison de la nécessité d’enquêter sur d’éventuels problèmes de sécurité à tous les niveaux, ils sont donc en fait d’excellentes cibles pour les acteurs étatiques », a-t-il déclaré dans un courrier électronique adressé à Netcost-Security.

De plus, les médias sociaux fournissent une mine d’informations qui permettent aux acteurs de la menace de réussir plus facilement les attaques d’ingénierie sociale.

«Ils réussissent beaucoup mieux lorsqu’ils correspondent à l’intérêt d’une cible, et toutes ces informations peuvent être trouvées sur Twitter ou Instagram. Un autre vecteur d’attaque provient de ce que les employés divulguent par inadvertance, par exemple, une photo d’eux au travail sur LinkedIn peut donner à un cybercriminel un guide parfait de ce à quoi un uniforme et un badge doivent ressembler », a déclaré Loden.

Selon Tobac, toute personne ayant le bon prétexte, le bon timing et le bon leurre peut être compromise. «Nous ne nous moquons pas des gens qui ont été conçus sur le plan social parce que cela fait appel à qui nous sommes au centre en tant qu’humains. [are] aller au piratage humain. « 

Cette campagne la plus récente a suscité un intérêt supplémentaire car elle est un bon exemple d’acteurs de la menace prenant leur temps, se familiarisant avec leurs cibles et développant patiemment des liens avec eux, a déclaré Tobac.

« Plutôt que de renforcer la persistance sur un réseau et d’attendre tranquillement sur le réseau, nous voyons vraiment la persistance du côté de l’ingénierie sociale, plutôt que du côté technique. »

Protéger contre le piratage humain

Dans de nombreux cas, la formation de sensibilisation à la sécurité prépare les gens à ce à quoi s’attendre d’une attaque d’ingénierie sociale. Cela peut fonctionner pour les e-mails de phishing traditionnels et les tactiques d’usurpation d’identité moindres, mais en ce qui concerne les acteurs compétents des États-nations, ce n’est pas suffisant.

Tim Sadler, co-fondateur de la société de sécurité de messagerie Tessian, a déclaré à Netcost-Security que la formation traditionnelle de sensibilisation à la sécurité n’était pas suffisante.

« Dans cette attaque, les cybercriminels ont utilisé des tactiques d’usurpation d’identité sophistiquées pour renforcer la confiance au fil du temps et inciter les chercheurs à installer involontairement du code malveillant », a-t-il déclaré dans un courrier électronique adressé à Netcost-Security. « La formation traditionnelle de sensibilisation à la sécurité ne résoudrait pas ce problème. Pourquoi? Parce que de nombreux signes révélateurs d’une escroquerie, que les gens apprennent à surveiller lors des sessions de formation à cocher, n’étaient tout simplement pas présents. L’autre problème est que La formation ponctuelle ne tient pas compte du fait que les pirates jouent le long jeu, en utilisant plusieurs points de contact pour cibler leurs victimes. Comment les entreprises peuvent-elles s’attendre à ce que leurs employés se souviennent de la formation dispensée il y a plus de six mois, par exemple? « 

Selon Sadler, la formation doit évoluer pour suivre l’évolution du paysage des menaces.

« Il doit être diffusé automatiquement et en continu, en sensibilisant les employés aux menaces potentielles sur le moment et en les conseillant sur les mesures à prendre. La formation de sensibilisation à la sécurité doit utiliser les menaces du monde réel auxquelles les employés sont confrontés pour fournir un contexte. Beaucoup de sensibilisation à la sécurité d’aujourd’hui Les plates-formes de formation s’appuient sur la simulation des menaces de phishing et utilisent des modèles prédéfinis de menaces courantes. Bien qu’il s’agisse d’une approche équitable pour la sensibilisation au phishing générique, elle ne permet pas de préparer les employés aux menaces de phishing hautement ciblées et aux escroqueries par usurpation d’identité qu’ils sont susceptibles de voir aujourd’hui.

Tobac a convenu que la solution n’était pas davantage de formations de sensibilisation à la sécurité, mais davantage d’exemples de la façon dont les acteurs des États-nations utilisent l’ingénierie sociale. « Je dirais que tous les chercheurs en sécurité sont tellement conscients de la façon dont fonctionne l’ingénierie sociale. »

À l’instar de Johnson chez Fuzzing IO, les chercheurs en sécurité peuvent se protéger en utilisant des machines virtuelles isolées des autres systèmes pour accéder aux ressources ou ouvrir des fichiers provenant de parties non fiables. Il existe d’autres outils techniques, notamment les gestionnaires de mots de passe et l’authentification multifactorielle, ainsi que les meilleures pratiques de base telles que la non-réutilisation des informations d’identification sur les comptes et les machines.

«Nous savons qu’un chercheur qui a été compromis a déclaré qu’il pensait que le fait d’utiliser des informations d’identification similaires ou identiques d’une machine sur son réseau à l’autre a conduit à ce pivotement du réseau vers une autre machine. Ce sont des solutions techniques que vous pouvez utiliser, mais quand vous avez un acteur de l’État-nation, il essaiera de persister grâce aux outils techniques dont vous disposez », a déclaré Tobac.

Mais aucune des défenses techniques n’empêche les individus d’être victimes de la fraude, c’est pourquoi les attaques d’ingénierie sociale sont un tel défi. Être vigilant, en particulier sur les machines ou les comptes d’utilisateurs avec des autorisations élevées, est important pour tous les individus, quelle que soit leur profession, a déclaré Loden.

«Même si vous utilisez un système et un navigateur entièrement corrigés, les exploits zero-day peuvent être utilisés contre vous. Il est préférable de garder l’œil ouvert sur la paranoïa, et peut-être d’utiliser une machine virtuelle non privilégiée (ou un Chromebook ou autre) sans un accès spécial pour tout type de navigation tranquille, distinct de tout système de travail qui pourrait permettre à un acteur malveillant dédié d’accéder aux ressources internes d’une entreprise. « 

De plus, Loden a recommandé une formation proactive des employés et des tests de routine.

«Il incombe aux équipes informatiques et de sécurité de permettre aux utilisateurs de comprendre comment assurer leur sécurité et de leur construire une voie meilleure, plus directe et plus souhaitable. Si un employé obtient une ingénierie sociale, ne le blâmez pas. refléter et comprendre ce qui a poussé l’employé à couper un virage et comment vous pouvez les encourager. En pratique, cela signifie fournir des solutions techniques facilement utilisables à ces chercheurs pour s’assurer qu’ils peuvent mieux se protéger des campagnes d’ingénierie sociale réussies en segmentant tout travail de recherche sur la sécurité de activités quotidiennes. « 

Tobac a déclaré que cette attaque était un signal d’alarme pour de nombreuses personnes. « En fin de compte, nous allons voir les impacts de cette attaque pour les années à venir. »

Gabriel

Gabriel

La tech va chaque jour plus vite et il peut-être difficile de suivre cette thématique. Grâce à mes articles, j'espère vous faire ressortir les sujets importants et intéressants afin de ne rien louper cette actualité toujours en pleine agitation.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.