Quand un cheval de Troie dédié accède aux informations sensibles Fuite des informations les plus sensibles de la société en moins de 45 minutes

Lors des ateliers de la sécurité organisés par CCMBenchmark, un hacker a réalisé une démonstration des fameuses attaques persistantes avancées via l'utilisation d'un trojan spécialement conçu. Son intrusion lui a permis d'accéder aux informations les plus sensibles d'une société en 45 minutes.

 

Tout commence par la découverte d'une faille sur le site Internet d'une grande société. Ce dernier propose d'envoyer, en lien, certaines pages de son catalogue, par mail, au contact de son choix. Problème : il est possible d'inscrire l'adresse de son choix à la fois pour le destinataire mais aussi pour l'émetteur du mail.

C'est ce dont s'aperçoit Nes, société d'audit en sécurité, lors d'un test d'intrusion commandé par cette "grande société" qui restera, évidemment, anonyme. Les auditeurs ont auparavant reçu la consigne du RSSI de mener "le plus loin possible" leur attaque afin d'essayer de "subtiliser le plus d'informations", y compris, et surtout, les plus sensibles. Seuls le RSSI, le DSI, et la DG sont prévenus du test d'intrusion.

 

un schéma de l'attaque, avec une capture d'écran authentique.
Un schéma de l'attaque, avec une capture d'écran authentique. © Nes

L'intrusion

Après avoir découvert la faille, le hacker employé par Nes commence par copier, intégralement, tout le code du site Internet de l'entreprise visée. Grâce à un logiciel dédié, tout le site est copié sur un serveur de Nes. C'est le début du hacking.

 

Sur 200 mails envoyés, près de 50 destinataires vont cliquer sur le lien piègés

Le hacker, qui a également souhaité rester anonyme, a même pu obtenir un certificat SSL par une autorité de certification reconnue, et gratuite. Une seule différence, si le faux site est certifié, ce n'est pas la même autorité qui l'a certifié. Mais les navigateurs et les internautes n'y voient que du feu.

 

Autre différence, et non des moindres, le site dupliqué est piégé avec une applet Java, contenant une "backdoor", une porte dérobée.  Ce cheval de Troie, qui devra s'installer sur un terminal de la société visée, peut être paramétré afin de ne pas être détecté par les solutions d'antivirus. Son code peut par exemple être mélangé afin déjouer les bases de signature des antivirus. Via des outils Open Source rapidement trouvables sur Internet, il est également possible de les configurer pour différentes versions de Windows, mais aussi de Linux ou MacOS

 

Phishing et social engineering

Ensuite, le hacker, armé de son code malveillant dédié, va hameçonner les employés de la société visée. Dans le formulaire permettant de partager les pages web du catalogue, il insère comme expéditeur l'adresse mail du directeur général, trouvée tout aussi facilement sur Internet. Dans le corps du message, un texte invitant fortement à cliquer sur un lien, envoyant sur le faux site, piégé, de la société. Sur 200 mails envoyés, près de 50 destinataires vont cliquer sur le lien.

 

Reste alors à laisser le programme malveillant s'exécuter. Parmi les premiers employés de la société visée à avoir installé le trojan, figure un "personnage important", dans la hiérarchie de la société, un "VIP" (voir schéma ci-dessous). "Nous avons eu de la chance" reconnaît le hacker.


L'employé piégé travaille à distance, sur PC portable, mais cela ne change rien à l'attaque : une fois le terminal nomade compromis, sa connexion via VPN SSL l'est aussi facilement. En effet, le trojan installé va ensuite pouvoir octroyer les droits pour passer administrateur sur la machine, ou prendre des photos depuis la webcam. Toute la sécurité périmétrique de la société visée (parefeu, reverse proxy) est contournée.

 

Par "chance", l'employé est haut placé dans la société : il a donc de nombreux droits, et les mots de passe qui vont avec. Il peut accéder à de nombreux documents sensibles : fiches de paye, feuille de route de la société pour les prochaines années... Autant de fichiers dont le trojan ne va faire qu'une bouchée, et les envoyer à un serveur distant contrôlé par le hacker.

L'attaque, filmée (voire capture d'écran ci-dessus), a duré moins de 45 minutes. Elle se sera soldée par la fuite des informations les plus sensibles de la société.

Autour du même sujet