Rien qu’au cours du premier semestre 2020, quatre frameworks malveillants jusqu’alors inconnus et conçus pour pirater des réseaux isolés sont apparus, portant le nombre total à 17.

La découverte et l’analyse de ce type de framework posent des défis uniques, car il existe de multiples composants qui doivent tous être analysés ensemble afin d’obtenir une image complète de la manière dont les attaques sont réellement menées. Grâce aux connaissances rendues publiques par plus de 10 organisations différentes au fil des ans, et quelques analyses ad hoc pour clarifier ou confirmer certains détails techniques, les chercheurs d’ESET, dirigés par Alexis Dorais-Joncas, ont étudiés les frameworks afin de déterminer quels enseignements pourraient être tirés pour les professionnels de la cybersécurité et, dans une certaine mesure, pour le grand public. L’objectif étant l’amélioration de la sécurité des réseaux isolés ainsi que notre capacité à détecter et atténuer les attaques futures. Ils se sont intéressés à chaque framework, les comparant côte à côte dans une étude exhaustive qui révèle plusieurs similitudes majeures, même au sein de ceux produits à 15 ans d’intervalle.

« Les groupes de pirates ont réussi à trouver des moyens sournois de cibler ces systèmes. Même si l’isolement des réseaux se généralise et que les entreprises intègrent des méthodes innovantes de protéger leurs systèmes, les cybercriminels affinent également leurs compétences pour identifier de nouvelles vulnérabilités à exploiter, » explique Alexis Dorais-Joncas, qui dirige l’équipe des chercheurs d’ESET à Montréal.

« Pour les entreprises disposant de systèmes d’information critiques et/ou d’informations classifiées, la perte de données pourrait être extrêmement préjudiciable. Le potentiel de ces frameworks est très inquiétant. Nos conclusions montrent que tous les frameworks sont conçus pour espionner, et tous utilisent des clés USB comme moyen de transmission physique de données vers et depuis les réseaux isolés ciblés, » explique M. Dorais-Joncas.

Compte tenu des risques identifiés, ESET a établi la liste suivante de méthodes de détection et d’atténuation pour protéger les réseaux isolés contre les principales techniques utilisées par tous les frameworks malveillants connus à ce jour :

• Empêchez l’accès à la messagerie sur les hôtes connectés — L’impossibilité d’accéder directement à la messagerie sur les systèmes connectés permettrait d’atténuer ce vecteur courant d’infection. Cela pourrait être mis en œuvre avec une architecture d’isolement des navigateurs/de la messagerie, dans laquelle toute activité associée à la messagerie est effectuée dans un environnement virtuel séparé et isolé.

• Désactivez les ports USB et désinfectez les clés USB — La protection ultime consiste à supprimer ou désactiver physiquement les ports USB sur tous les systèmes fonctionnant dans un réseau isolé. Comme la suppression des ports USB de tous les systèmes peut ne pas être acceptable pour toutes les entreprises, il est possible de limiter les ports USB fonctionnels aux seuls systèmes qui en ont absolument besoin. Un processus de désinfection utilisé avant l’insertion de toute clé USB dans un système isolé pourrait perturber bon nombre des techniques mises en œuvre par les frameworks étudiés.

• Restreignez l’exécution des fichiers à partir des disques amovibles — Plusieurs techniques utilisées pour compromettre les systèmes isolés aboutissent à l’exécution directe d’un fichier stocké quelque part sur le disque, ce qui pourrait être empêché en configurant les politiques pertinentes d’accès au stockage amovible.

• Analysez régulièrement les systèmes — Une analyse régulière des systèmes isolés à la recherche de frameworks malveillants est un élément important de la sécurité afin de préserver la sécurité des données.

Il convient de noter que les produits de sécurité des terminaux sont généralement capables de détecter et de bloquer plusieurs types d’exploitations de vulnérabilités. Le déploiement et l’actualisation régulière de cette technologie permet un impact positif.

« Un système entièrement isolé offre les avantages d’une protection supplémentaire. Mais comme tous les autres mécanismes de sécurité, cet isolement n’est pas une solution miracle et n’empêche pas les acteurs malveillants de s’attaquer aux systèmes obsolètes ou d’exploiter les mauvaises habitudes des employés, » commente Alexis Dorais-Joncas, chercheur chez ESET.