Attaques ciblées par des Troyens transmis par courriel
IN05-001
Date : 16 juin 2005
Objet
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) a reçu des rapports au sujet d'une nouvelle technique de propagation de chevaux de Troie par courriel. En raison de la nature de cette technique, les mesures standard de défense, comme les programmes antivirus et les pare-feu ne sont pas entièrement efficaces. Il en résulte que le risque que des réseaux de l'infrastructure essentielle soient compromis est important. La présente Note d'information est publiée afin d'attirer l'attention sur cette technique et de fournir des conseils généraux afin de réduire les risques.
Public
Ce document s'adresse principalement aux propriétaires et exploitants d'éléments de l'infrastructure essentielle du Canada, ce qui comprend tous les niveaux de gouvernement, qui devraient être informés de toute menace potentielle à l'information essentielle à leur mandat.
Contexte
Un cheval de Troie est un programme malveillant qui tente de tromper les utilisateurs en se présentant comme étant légitime dans le but qu'ils l'ouvrent et/ou l'installent. Ces programmes peuvent être dotés d'une vaste gamme de capacités, mais le plus souvent ils cherchent à recueillir de l'information au sujet des ordinateurs qu'ils infectent, à récolter d'autres informations et à donner à leur auteur ou à un autre programme l'accès à distance à l'ordinateur. Certains Troyens peuvent permettre à un attaquant à distance de télécharger du code malveillant dans les ordinateurs infectés ou permettre que les ordinateurs infectés puissent être utilisés afin de lancer des attaques de déni de service. Ces programmes sont souvent propagés par des moyens aléatoires : ils peuvent être largués par des vers, joints à des courriels envoyés en masse ou transmis par des sites Web malveillants.
Récemment, les informations publiées par les médias et transmises au CCRIC ont mis en lumière le fait que les attaquants utilisent de plus en plus des moyens ciblés de distribuer les Troyens. Des incidents signalés au Canada ont mis en jeu un petit nombre de chevaux de Troie transmis au moyen de courriels contenant soit des pièces jointes portant les Troyens, soit des liens vers des sites Web hébergeant des fichiers portant des Troyens. Ces courriels sont habituellement envoyés à des personnes spécifiques, au lieu d'être envoyés dans le cadre des vastes distributions associées aux attaques d'hameçonnage ou à d'autres activités de Troyens. De plus, ces courriels utilisent des éléments perfectionnés d'ingénierie sociale afin de sembler crédibles et d'inciter les utilisateurs à ouvrir une pièce jointe ou à suivre un lien :
- L'adresse « De » du courriel est une imitation créée de manière à la faire ressembler à un message d'un collègue ou d'une organisation tierce fiable;
- La ligne d'objet et le texte du courriel semblent pertinents pour le travail du destinataire ou ils peuvent avoir été copiés à partir d'un courriel légitime;
- Le nom et le type de la pièce jointe semblent pertinents pour le texte et le travail du destinataire.
Lorsque l'on ouvre la pièce jointe ou le lien, un Troyen est installé dans l'ordinateur de l'utilisateur. Jusqu'à présent, ces incidents mettant en jeu des Troyens avaient comme principal objectif la collecte d'information commerciale, financière ou économique. Des cas semblables signalés par les médias ont été décrits comme relevant de l'espionnage économique ou industriel.
[1]
Évaluation
Deux éléments rendent cette technique d'attaque digne de mention.
En premier lieu, les Troyens impliqués dans des incidents signalés au CCRIC ont parfois déjoué des logiciels antivirus et des pare-feu, deux des mécanismes principaux de défense des réseaux de l'infrastructure essentielle. Les Troyens signalés à ce jour étaient du code malicieux qui pouvait être détecté par certains produits antivirus, du code malveillant inconnu précédemment ou des modifications de Troyens à source libre. Dans ces trois cas, la plus récente version de tout logiciel antivirus ne détectait pas toujours le code malveillant. Les fournisseurs d'antivirus doivent intercepter un exemplaire d'un programme malveillant afin de pouvoir mettre à jour les signatures contenues dans leurs logiciels de manière à pouvoir les détecter, mais la distribution ciblée de ces codes malveillants à laquelle cette technique fait appel réduit considérablement la probabilité d'une telle interception. De plus, les Troyens peuvent être configurés de manière à transmettre à un attaquant à distance de l'information en utilisant des ports attribués à des services communs (comme le port 80 pour TCP, assigné au trafic Web) et tromper ainsi la plupart des pare-feu. Par conséquent, les responsables de la sécurité des réseaux devront prendre des mesures additionnelles pour assurer la protection contre ce genre d'attaque.
En deuxième lieu, les techniques d'ingénierie sociale très évoluées employées dans le cadre des incidents signalés accroissent fortement la probabilité que les utilisateurs ouvrent les pièces jointes malveillantes et infectent leurs ordinateurs par inadvertance. Bien que les techniques d'ingénierie sociale aient connu une amélioration marquée au cours des 2 dernières années (en particulier dans le domaine des attaques d'hameçonnage), la distribution ciblée de ces Troyens permet d'adapter étroitement les courriels aux destinataires prévus.
L'information dont dispose le CCRIC suggère que des attaques de ce genre ont été détectées dans d'autres pays. Le CCRIC a aussi reçu un très petit nombre de déclarations d'attaques de ce genre au Canada. Bien que le CCRIC ne dispose d'aucune information lui permettant de déduire que ces attaques constituent une menace pour l'infrastructure essentielle dans son ensemble, la vulnérabilité des réseaux de l'infrastructure essentielle à de telles attaques est considérable.
Mesures recommandées
En raison du ciblage des Troyens propagés de cette manière et de la possibilité de communication avec des attaquants à distance au moyen de ports réservés à des services communs, la détection de ce genre d'attaque est problématique. De plus, il n'existe pas de défense entièrement efficace contre ce type d'attaque s'appliquant à tout ordinateur connecté à Internet.
De manière générale, le personnel de la sécurité des réseaux devrait tenir le logiciel antivirus aussi à jour que possible afin de détecter les Troyens plus vieux qui pourraient être utilisés pour une attaque de ce genre. Comme des vulnérabilités de diverses applications de Microsoft ont déjà été exploitées pour installer des Troyens, tous les correctifs courants devraient être appliqués. De plus, on devrait examiner toute machine anormalement lente pour trouver des processus inconnus ou des connexions Internet inattendues et on devrait encourager les utilisateurs à signaler tout comportement de ce genre de leur appareil. Finalement, on devrait informer les utilisateurs de ne pas visiter de sites Web douteux et de ne pas ouvrir de pièces jointes non demandées provenant de quelque source que ce soit sans auparavant confirmer la validité du courriel ou du lien.
Les autres mesures de détection et/ou de réduction du risque pour ce type d'attaque sont les suivantes :
- Examiner les journaux des pare-feux des systèmes essentiels ou des réseaux utilisés pour traiter de l'information sensible afin de détecter les connexions dans un sens ou dans l'autre avec des adresses IP anormales;
- Envisagez d'effectuer l'analyse du trafic pour identifier tout ordinateur compromis qui transmettrait des données vers un attaquant à distance. En particulier, les données relatives à la taille et aux heures des connexions HTTP ou TCP sur le port 80 peuvent aider à détecter ce type d'activité. Les connexions pendant lesquelles la quantité de données transmises est anormale, les connexions en dehors des heures normales de travail et les connexions de courte durée qui ont lieu périodiquement devraient être examinées avec soin;
- Si votre architecture de TI permet l'utilisation du courriel à partir d'Internet, examinez les journaux d'accès du serveur de messagerie pour déceler les connexions en provenance d'adresses IP inhabituelles. Certains Troyens impliqués dans des incidents qui ont été signalés au CCRIC ont recueilli des noms d'utilisateur et des mots de passe qui pourront être utilisés ultérieurement par des attaquants.
Les incidences d'attaques faisant appel à cette technique, comme tous les incidents en matière de cybersécurité touchant l'infrastructure essentielle canadienne, doivent être signalées au Centre canadien de réponse aux incidents cybernétiques (CCRIC) par l'intermédiaire du Centre des opérations du gouvernement (COG) au 613-991-7000 ou à goc-cog@ps-sp.gc.ca, à l'attention de l'agent de cybersécurité de service.
[1] Dans un cas en Israël, le Troyen HotWord a été propagé à diverses compagnies par un de leurs concurrents. La méthode de diffusion aurait été un CD-ROM promotionnel contenant un Troyen. Les caractéristiques de cette méthode de propagation de Troyens sont fortement semblables aux techniques de courriels ciblés décrits dans la présente note d'information. Voir à www.msnbc.msn.com.
Note aux lecteurs
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.
Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:
Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca