L’incident reporté hier renforce nos analyses qui montrent qu’une attaque ciblée contre un réseau reste en moyenne non détectée entre 90 à 120 jours après l’infiltration. Selon ces calculs, le service de sécurité de ThyssenKrupp a été relativement rapide pour détecter l’attaque. Les exemples du passé montrent que des programmes d’espionnage complexes conçus ou une campagne d’espionnage pour une cible spécifique peuvent même, selon certaines circonstances, restés non détectés pendant plusieurs années. Un de ces exemples est Uroburos.
Anatomie d’une attaque ciblée
Une telle attaque fonctionne généralement selon un modèle défini : premièrement, les attaquants collectent des informations sur la cible. Ensuite, ils développent selon ces informations une stratégie : comment avoir accès au réseau. En plus, plusieurs méthodes peuvent être mises en place, du logiciel malveillant jusqu’au « social engineering ». Aussitôt que les attaquants ont accès au réseau de l’entreprise, ils essayent normalement, d’agrandir l’envergure en élargissant les possibilités d’accès. Aussitôt que des données intéressantes et précieuses sont déterminées, l’exfiltration c’est-à-dire le vol de données peut commencer.
A l’heure actuelle, il n’y a pas d’information définie sur le niveau de sophistication de l’outil utilisé dans cette attaque. Mais il est important de souligner, que tous les outils d’espionnage ne sont pas spécialement conçu pour une seule cible. Plus souvent, les attaquants utilisent des outils existants pour amortir leur financement. Selon ThyssenKrupp, certains éléments suggèrent que les attaquants sont originaires d’Asie.
Les grandes entreprises ne sont pas les seules cibles
Une étude de GE Capital montre qu’environ 44% des brevets déposés en Europe l’année dernière sont détenus par des entreprises de taille moyenne. Il n’est donc pas étonnant que les moyennes entreprises représentent aussi des cibles intéressantes pour les criminels. Selon l’Agence fédérale allemande pour la sécurité des systèmes informatiques (BSI), 58% des entreprises privées ainsi que des institutions publiques en Allemagne ont déjà été victimes d’attaques contre leurs systèmes informatiques et de communication.
Retour en 2014 : Uroburos – logiciel d’espionnage complexe aux racines russes
En 2014, les experts en sécurité de G DATA ont découvert et analysé un code malveillant sophistiqué conçu pour voler des données provenant de réseaux de grande envergure comme les agences gouvernementales, les services de renseignement ou les grandes entreprises. Le rootkit nommé Uroburos travaillait de façon autonome et se propageait dans le réseau. Il infectait également des machines dépourvues de connexion Internet. Ce niveau de sophistication n’ayant pu être réalisé sans financement important et investissement en personnel qualifié, G DATA avait conclu qu’il était issu du secteur du renseignement. L’analyse avait en outre montré qu’Uroburos avait des racines russes. Jusqu’à ce qu’il ait été découvert par G DATA, ce malware hautement complexe était passé inaperçu.