À propos de ce blog

Thèmes Populaires

Cyber Attaques au 2ème semestre 2018 : le trafic quadruple

Guillaume Ortega

05.03.19 8 min de lecture

Il semble que, dernièrement, les hackers n’aient pas ménagé leurs efforts. C’est ce qui ressort clairement des statistiques tirées de notre réseau mondial de honeypots, au second semestre 2018. Nos serveurs ont enregistré un trafic d’attaques et de reconnaissance quatre fois supérieur, par rapport au semestre précédent.

Telnet a été le protocole le plus fréquemment associé à ces attaques, probablement en raison du nombre croissant d’objets connectés. Viennent ensuite les protocoles SSH, SMB et SMTP. Le piratage de serveur web (Web server compromise) a constitué le vecteur d’attaque le plus important, après Telnet. Les cyber attaques provenant des espaces IP américain et russe ont dominé, suivis par l’Italie et le Royaume-Uni.

Attaques-01

Depuis quelques années, nous publions un rapport semestriel analysant le trafic de notre réseau mondial de honeypots. Il s’agit de serveurs destinés à leurrer les hackers, pour les attirer et analyser leur comportement. Ces honeypots simulent des services populaires comme SMB, SSH et HTTP. Le trafic observés par ces honeypots est un bon indicateur des tendances en matière de cyber attaques.

Par exemple, après les épidémies WannaCry et NotPetya de 2017, nous avons assisté à un bond du trafic des serveurs SMB sur le port 445, qui avaient jusque-là toujours connu une activité normale. Depuis, nous continuons de constater des niveaux élevés pour ce trafic.

Qui cible qui ?

Il est toujours intéressant de voir de quels pays proviennent les adresses IP associées aux cyber attaques, et vers quels pays elles sont dirigées.

Attaques-02

Le trafic provenant de l’espace IP américain occupe la première place. La Russie, loin derrière, occupe la deuxième position. Bien sûr, comme nous le soulignons toujours, il n’existe aucun moyen de savoir si ces attaques sont réellement menées depuis le pays en question, car les cyber criminels font passer leurs attaques par des proxy pour éviter d’être détectés. Ils peuvent employer des VPN, TOR ou des appareils/infrastructures piratées à différents endroits du globe afin d’échapper aux autorités.

Ces attaques ne sont pas non plus nécessairement menées par des États-nations. Elles ont souvent des motivations financières et sont commises par des hackers ordinaires menant des attaques DDoS ou envoyant des logiciels malveillants.

La cible des attaques, à l’inverse, ne fait aucun doute.  Voici les pays principalement ciblés par les hackers :

Attaques-03

Lorsque l’on évoque le « pirate informatique », le lecteur imagine souvent un jeune homme à capuche, menant tous les attaques depuis son propre ordinateur. Ce n’est généralement pas le cas. Les attaques menées par des individus représentent 0,1% des menaces observées sur nos honeypots. 99,9% du trafic provient de robots, de logiciels malveillants et d’autres outils automatisés. Ce sont, bien entendu, les humains qui créent ces outils et les configurent, mais un tel volume d’attaque – des centaines de millions – est rendu possible grâce à l’automatisation.

Les attaques peuvent provenir de n’importe quel dispositif informatique connecté : même un simple ordinateur, une smartwatch ou une brosse à dents connectée peuvent être la source de scan du trafic ou d’attaques.

FR-AL_H2_2018_charts_sources_to_destinations

Le Royaume-Uni, bien qu’il figure en bonne place sur la liste des principaux pays-sources, n’apparaît pas sur notre liste « Principaux couples Pays-sources –> Pays-cibles ». La raison est la suivante : les attaques émanant du Royaume-Uni sont dirigées contre de très nombreux pays, mais toujours dans des proportions mesurées. Les États-Unis sont le premier pays visé par les attaques issues du Royaume-Uni, avec 85 000 attaques. Comme au semestre précédent, les PME sont ciblées dans l’immense majorité des cas (99% des attaques).

Ports et protocoles

De juillet à décembre 2018, l’écrasante majorité du trafic, soit 83%, concernait le port TCP 23, utilisé pour Telnet. Au début du semestre, nous avons apporté quelques ajustements à nos honeypots dédiés à Telnet. Nos serveurs peuvent reconnaître encore plus facilement ces attaques mais ces améliorations ne peuvent expliquer l’ampleur du phénomène. Une autre variable explique cette augmentation : en effet, les objets connectés – dont les noms d’utilisateurs et mots de passe utilisés restent trop souvent ceux définis par défaut – continuent de constituer une proie facile pour les hackers.

Une grande partie de l’activité de Telnet est liée à l’existence de robots, des objets connectés cooptés dans le cadre d’un botnet. Les attaques Telnet se sont notamment concentrées sur la seconde moitié du mois de décembre, un moment sans doute privilégié pour les attaques : en effet, durant la période des fait, les internautes sont souvent moins vigilants et beaucoup voyagent loins de chez eux.

Après le port 23, le port 22 (associé à SSH, tentant des connexions distantes) a été le deuxième port le plus ciblé. Le port 445, utilisé pour viser les PME et en troisième position, connaît une baisse du trafic qui lui est associé : au premier semestre 2018, nous avions observé un pic à 127 millions d’attaques sur ce port. Avant les attaques WannaCry et NotPetya de 2017, le trafic des attaques visant les PME via ce port était insignifiant, ne se classant même pas parmi les 20 premiers ports.

FR-AL_H2_2018_charts_smb_activity

Le SMPT, ou trafic d’attaques par e-mail, s’est classé au quatrième rang, en raison – très probablement – des logiciels malveillants et spams dont nous avons fait état en décembre. Le trafic MySQL, classé en cinquième position, correspond certainement quant à lui aux tentatives de violation de données. MySQL est en effet très populaire auprès des utilisateurs de systèmes de gestion de contenu tels que WordPress, Drupal et Joomla. Également présent dans ce classement : le protocole CWMP, qui peut être associé au protocole TR-069 (utilisé pour la gestion à distance des modems, passerelles, routeurs, téléphones VOiP ou encore set top boxes) pour lequel il existe des exploits connus.

Serveurs et postes de travail

Grâce à notre outil de cartographie de la topologie web F-Secure Riddler, nous avons pu identifier les serveurs et les services menant le plus d’attaques web. En tête de cette liste se trouvent Nginx, Apache et WordPress, des services souvent piratés et utilisés à des fins malveillantes. Après les objets connectés, les serveurs web constituent l’un des principaux vecteurs d’attaque observés sur nos honeypots.

Attaques-06

Identifiants

Les principaux noms d’utilisateur et mots de passe utilisés par les hackers lorsqu’ils tentent de percer l’accès à nos honeypots ne changent pas radicalement (« root » et « admin » figurent toujours sur la liste), mais il est intéressant de remarquer que les mots de passe se classant en 2ème et 6ème position correspondent à ceux des caméras connectées Dahua IoT et aux boîtiers DVR H.264 d’un fabricant chinois.

En entreprise

Comment les entreprises sont-elles affectées par les cyber menaces externes ? Pour répondre à cette question, nous avons récemment mené un sondage auprès des décisionnaires et influenceurs du secteur informatique, au sujet de la détection, par leur entreprise, des cyber attaques opportunistes et ciblées. Les deux tiers des répondants ont déclaré qu’en 2018, leur entreprise avait détecté au moins une attaque, 22 % ont déclaré que leur entreprise n’avait pas détecté d’attaque et 12 % ne savaient pas ou s’étaient abstenus de répondre.

Attaques-08

Les grandes entreprises apparaissent comme étant susceptible de détecter davantage d’attaques : 20 % des entreprises de plus de 5 000 employés ont déclaré avoir détecté cinq attaques ou plus, contre 10% pour les entreprises comptant 200 à 500 personnes. Les grandes entreprises sont également plus nombreuses à affirmer qu’elles n’ont jamais détecté d’attaque : 16 % des entreprises de plus de 5 000 employés n’ont signalé aucune attaque, contre 28 % pour les entreprises de moins de 500 personnes.

Les entreprises françaises, allemandes et japonaises sont les plus nombreuses à n’avoir signaler aucune détection, tandis que les entreprises nordiques et américaines étaient les plus nombreuses à signaler cinq détections ou plus. Près de la moitié des entreprises indiennes ont signalé deux à cinq détections, tandis que dans les autres pays, comparé à un tiers en moyenne pour les autres pays.

FR-AL_H2_2018_charts_companies_detecting_attacks_2

Un peu moins d’un tiers des entreprises ont déclaré utiliser une solution de détection-réponse.

Conclusion

En analysant le trafic de nos honeypots au fil des ans, nous sommes parvenus à la conclusion suivante : la situation évolue sans cesse mais plus les changements se multiplient, plus des régularités apparaissent. Les hackers modifient sans cesse leur tactique : piratage d’objets connectés pour créer un botnet,  propagation de vers pour infecter les PME à coups de ransomware,

campagnes spams, piratage de services web… In fine, le principe reste le même : les pirates informatiques font évoluer leur stratégie, pour réaliser des profits le plus facilement possible.

La meilleure défense est, comme toujours, de mettre sur pied un programme complet de cyber sécurité. Il doit faire appel à des process solides, des technologies de pointe, et mobiliser l’ensemble des individus concernés.

Limitez votre surface d’attaque. Simplifiez et optimisez vos réseaux, logiciels et équipements. Sachez quels systèmes et services vous utilisez et désactivez ceux qui ne sont pas nécessaires.

Impliquez le personnel de votre entreprise. Sensibilisez-le aux concepts de la cyber sécurité et enseignez-leur les principes à respecter. Mettez en place des processus qu’ils peuvent suivre sans difficulté.

Utilisez une protection multi-niveaux. La sécurité fonctionne par niveaux. Utilisez une approche associant technologies de prévision, de prévention, de détection et de réponse.

Téléchargez notre infographie
Guillaume Ortega

05.03.19 8 min de lecture

Catégories

Article mis en avant

Publications connexes

Newsletter modal

Merci de votre intérêt pour F-Secure. Vous recevrez bientôt un email pour confirmer votre abonnement à la newsletter.

Gated Content modal

Félicitations – Vous pouvez maintenant accéder à votre contenu en cliquant sur le bouton ci-dessous.