De tout temps et en toute guerre les attaquants ont tenté de percer des tunnels pour pénétrer les défenses. Le cyber-espace n’échappe pas à ces méthodes de cyber-guerre, avec la construction de tunnels pour pénétrer les réseaux et dérober les données, un fléau qui s'attaque tout particulièrement au monde de la finance.
Au Moyen-Age, les attaquants qui encerclaient un château-fort tentaient d’y pénétrer en creusant des tunnels. Durant la guerre 14/18, les soldats du génie construisaient des tunnels pour déposer et faire exploser des bombes sous les tranchées ennemies, ou éventuellement détecter et faire exploser les tunnels ennemis qui tentaient la même opération. Durant la guerre du Vietnam, les forces communistes s’enterraient dans des tunnels pour piéger l’envahisseur américain….
Et aujourd’hui, c’est au tour des cyberpirates d’employer la bonne vielle méthode des tunnels, adaptée aux technologies numériques bien évidemment. Ces tunnels d’exfiltration cachés sont utilisés pour pénétrer dans les réseaux pourtant dotés de contrôles d’accès rigoureux. Ils permettent ensuite aux attaquants de sortir discrètement du réseau, avec les données dérobées.
Les tunnels cachés
Sur un échantillon de 10.000 terminaux qui ont servis de base à l’étude citée en référence de notre article, tous secteurs d’activités confondus :
- 11 tunnels d’exfiltration cachés se faisant passer pour du trafic web chiffré ont été détectés.
Dans le secteur des services financiers, cible de l’étude, où de nouveau un échantillon de 10.000 terminaux a été constitué :
- 23 tunnels d’exfiltration cachés ont été détectés.
Le faible nombre des détections provient de la sophistication de ces cyber-attaques et de leur évolution cachée, qui rend leur détection délicate. Ces résultats sont également inquiétants, d'abord parce qu'un tunnel peut servir à dérober énormément de données, mais également parce que plus de deux fois plus de tunnels d’exfiltration de données cachés ont été détectés dans les services financiers que dans tous les autres secteurs d’activités réunis.
Beaucoup plus de tunnels cachés Command and Control - utilisés pour commander une attaque à distance de manière à peine détectable - ont également été détectés dans les services financiers que dans tous les autres secteurs d’activités réunis.
L’exemple d’Equifax
Nous voici donc confrontés à des hackers mafieux qui disposent d’une compétence pointue et qui sont prêts, à distance, à tout faire pour dérober des données financières et personnelles identifiables PII (Personally-Identiflable Information).
Rappelons que ce comportement est proche de celui qui a conduit à la violation de données d’Equifax aux Etats-Unis, qui a permis en 2017 le vol de :
- 145,5 millions de numéros de sécurité sociale ;
- 17,6 millions de numéros de permis de conduire ;
- 20,3 millions de numéros de téléphone ;
- 1,8 million d’adresses e-mail.
Après le vol, il a fallu attendre 78 jours avant que le piratage ne soit détecté !
Source : Rapport « Spotlight 2018 » de Vectra, basé sur l’édition 2018 de l’étude « Attacker Behavior Industry Report » publiée à l’occasion de la RSA Conference
Image d’entête 979205640 @ iStock Alfadanz