mercredi 4 novembre 2015

Menace sur les box

Modèle de menaces sur les Box en tout genre.


De nos jours, les pirates sont motivés par les gains financiers. Le hacking d’antan ou les scripts kiddies sont passés en arrière-plan des menaces. 

Les pirates d'hier et d'aujourd'hui

Dans les années 1990, les attaquants étaient motivés par des aspects ludiques et technologiques. C’était l’époque des virus et des élévations de privilège par débordement de tampon et écrasement de pile. Le pirate était motivé par le fait de repousser les limites technologiques et par la recherche d’une certaine reconnaissance...

A l’heure d’Internet, les objectifs ont commencé à changer. La Cybercriminalité s’est professionnalisée et des marchés parallèles dans le Darknet ont été créés pour échanger ou vendre des méthodes d’attaques, des outils ou malwares et des données sensibles exfiltrées.

Maintenant, les Cybercriminels sont des entrepreneurs, les attaques sont plus abouties, et techniquement plus évoluées. Leurs compétences sont souvent en avance sur celle des défenseurs. Les moyens mis en œuvre visent d’emblée une rentabilité financière. Pour atteindre ces objectifs économiques, les pirates s’appuient sur une organisation humaine et technique à l’image d’une entreprise. Il ne s’agit plus d’individus isolés et opportunistes mais d’entrepreneurs n’hésitant pas à créer des sociétés ayants pignon sur rue pour mener à bien leurs projets.

Nouveau malware, Advanced Persistent Threat

Les nouveaux malwares sont aujourd’hui appelées APT (Advanced Persistent Threat) par les services Marketing des industriels de la Cybersécurité. Il s’agit d’une typologie d’attaques qui fait généralement référence à un groupe organisé ayant l’intention de cibler efficacement une attaque contre une entité spécifique en mettant en œuvre les ressources nécessaires pour l’atteinte de l’objectif. 

Le terme est couramment utilisé pour désigner les menaces d’espionnage, de vol d'informations sensibles, mais s'applique également à d'autres menaces telles que la fraude au clic, le pharming

Pharming est une attaque moins connue visant à modifier la configuration DNS d’une victime de façon a rediriger des requêtes légitimes vers des sites contrefaits. Cette attaque est insidieuse car la victime dispose de peu de moyen de détecter l’attaque, particulièrement lorsque la configuration DNS altérée est celle d’une Box  hors du contrôle de la victime. L’intention du pirate est de collecter des renseignements personnels comme des mots de passe, numéro de compte bancaire ou tout renseignement exploitable pour une attaque ciblant un gain financier. 
La fraude au clic est une catégorie d’attaque dans laquelle les victimes sont les annonceurs qui rétribuent les régies publicitaires malveillantes faisant émettre aux internautes des requêtes à leur insu vers des sites rémunérateurs pour le pirate. Ces attaques s’appuient sur les bots et parfois sur les attaques par pharming

L’attaque APT est dite « avancée » au sens où elle utilise un ensemble de moyens pour atteindre un objectif déterminé. Pris individuellement, les composants d’une telle attaque ne sont pas forcément évolués techniquement. C’est en réalité la combinaison de méthodes et d’outils qui en font une attaque avancée.

L’attaque est dite persistante car l’objectif est de rester furtif le plus longtemps possible, par opposition à une attaque opportuniste rapide et visible. L’attaque est ainsi planifiée par les attaquants. Des objectifs précis sont préétablis pour compromettre la cible. Le mot clef de la persistance est en réalité de ne pas être détecté pour durer dans le temps, sauf lorsque l’objectif à atteindre est la destruction comme ce fût le cas avec le malware Stuxnet et les centrales nucléaires Iraniennes.

L’APT est une menace qui implique une importante coordination de moyens techniques, humains et financiers (déploiement de systèmes en ligne, création de société, conception logicielle, rétro-ingénierie de système, etc.). Une APT n’est pas forcément automatisée, cela dépend du contexte.

Les attaques APT sont dites à « signaux faibles » car difficilement détectable mais leur impact est souvent majeur. Elles possèdent des objectifs précis et une stratégie de mise en œuvre ne souffrant aucune improvisation. Les techniques employées sont parfois sophistiquées mais requièrent surtout de la coordination entre les différentes phases de l’infection jusqu’à exploitation des systèmes compromis. L’attaque doit absolument rester furtive car elle vise une rentabilité financière. Toute détection mettra fin à cet objectif économique. Le gain financier n’est pas forcément immédiat, il peut s’agir de la mise en œuvre d’une fraude à grande échelle. L’attaque doit durer jusqu’à l’atteinte de l’objectif si celui-ci à un terme. Dans le cas du vol d’information et d’exfiltration de données, cela peut être très long.Certaines APT peuvent avoir pour objectif une campagne offensive étatique, d’hacktivisme ou de Cyberterrorisme.

En général, elles sont orchestrées par des bandes organisées, des groupes militants, voire des Etats comme ce fut aussi le cas avec l’APT Regin piloté par le GCHQ opérant pour le compte de la NSA en 2013 pour attaquer le GRX (Global Roaming Exchange) du BICS (Belgacom International Carrirer Services) à des fins d’espionnage de la téléphonie en Europe continentale. 

Menaces sur les Box Internet

Box Internet
Le revers de la médaille pour un opérateur d’accès à Internet est que toute compromission de Box engage sa responsabilité parce qu’il est propriétaire de l’équipement et qu’il fournit le service a contrario des fabricants de routeurs domestiques sur étagère, qui se déresponsabilisent de l’usage fait pas les utilisateurs de leurs produits. 

Une évolution récente des attaques positionne le terminal d’accès Internet comme la pierre angulaire pour la fraude à grande échelle. 

Le point d’orgue est qu’un parc de Box, dépourvu de tout anti-malware ou mesures techniques de protection avancées, devient un candidat idéal pour les Cybercriminels. Le principal intérêt des pirates pour les Box est la furtivité de la compromission. Dans un tel cas de figure, la victime est dans l’impossibilité de détecter la compromission et encore plus d’y remédier.  

La typologie des objectifs de telles attaques va de l’installation de bots au pharming pour le détournement DNS ouvrant la voie aux attaques par phishing ou à la fraude au clic. 

La Box est un équipement domestique raccordant toutes les systèmes du foyer quel que soit le type de périphérique ou de système d’exploitation. Même les équipements itinérants, connectés épisodiquement via les points d’accès Wi-Fi des Box sont exposés à ces nouvelles menaces.

Ainsi, une seule compromission de plateforme donne accès à un large spectre de systèmes numériques tels que tablette, ordinateur, smartphone, décodeur TV, lecteur multimédia, smartTV, console de jeu, domotique, chaine Hi-Fi numérique...  

Le retour d’expérience montre que le mode opératoire des pirates consiste majoritairement à compromettre les routeurs domestiques depuis le LAN. En effet, la Box Internet dispose de nombreux services ouverts côtés LAN dont habituellement une interface Web d’administration tandis que l’interface Internet dispose de peu de services ouverts ou bien de services filtrés par les équipements de l’opérateur ou la Box elle-même.

Ce constat contraint les pirates à compromettre une Box en attaquant au préalable un ordinateur du LAN ou, dans le meilleur des cas, par simple rebond sur celui-ci grâce à de simples attaques CSRF.


Menaces sur la Femto

Femto cell
Les chercheurs en sécurité et les Cybercriminels se sont intéressés de près aux Femtocells car il s’agit de petites antennes relais telles qu’une BTS (GSM) ou un eNodeB (3G). Ces types d’équipements, hier hors de portée, deviennent ainsi accessibles à des populations qui en étaient privées. 

Les chercheurs académiques les utilisent pour constituer des laboratoires afin de monter en compétences sur les technologies des réseaux mobiles. Par exemple, la thèse en 2013 d’un doctorant de l’Université TU de Berlin a traité du piratage de Femtocell.

Cet engouement a généré un marché de l’occasion sur Internet pour les modèles de terminaux compromettables. La communauté de la Cybersécurité s’y est ainsi intéressée et les conférences sécurité (dont Defcon, CCC et BlackHat) ont présentés différentes attaques pratiquées contre les Femto.

Parmi les centres d’intérêts, les Femtocells permettent la mise en œuvre économique d’antennes relais pirates pour intercepter des communications téléphoniques et des SMS, usurper des abonnés, frauder sur les appels internationaux, etc.
   
Etant donné qu’une Femto se connecte au cœur du réseau voix de l’opérateur, il s’agit d’un chemin privilégié pour mener des attaques contre les équipements de l’infrastructure de l’opérateur dont les composants sensibles comme le HLR (Home Location Register) sont exposés au travers de l’accès privilégié.

Pour finir, des Cybercriminels ont été de la partie avec de réelles attaques substituants les firmwares de périphériques par des versions sous leur contrôles. Ces difficultés cumulées ont conduit au retrait du parc de terminaux chez certins opérateurs.

Menace sur la Box Domotique

Bien qu’encore confidentiels, les offres de Box domotique présentent un nouveau visage de menaces, portant sur la sécurité des biens et des personnes et allant de la désactivation des alertes incendie, à la prévisualisation intérieure avant cambriolage, en passant par la surconsommation d’énergie, l’accroissement des factures pour intervention du centre de télésurveillance, ou encore la captation d’images personnelles pour rançonnage. 

Ces nouvelles menaces, encore peu fréquentes, peuvent s’enrichir d’un ensemble de menaces pléthoriques selon les domaines d’extension des Box domotiques.


Menace sur les Set-Top-Box

La menace sur les Set-Top-Box (STB) ou décodeur TV est déjà ancienne et bien connue. Aujourd’hui, du fait de l’antériorité du contexte, il s’agit d’équipements dotés de nombreuses fonctionnalités de sécurité et d’un modèle de menaces connu. Les plates-formes matérielles de STB sont en avance techniquement d’un point de vue sécuritaire (comme c’est aussi le cas pour les consoles de jeu).

Le savoir-faire en matière de sécurité des STB s’exporte petit à petit vers les autres écosystèmes de terminaux. Les ayants-droits (Major du cinéma et chaînes de TV) contraignent à l’adoption d’obligations contractuelles, requérant la mise en œuvre d’exigences de sécurité. Une offre de services de sécurité spécialisée existe sur ce type de terminaux, débouchant sur des certifications sécurité propriétaires des terminaux.

Dans cet écosystème, les Cybercriminels cherchent à copier les contenus numériques ou à accéder gratuitement à la TV à péage ou à des contenus vidéo. Récemment, l’ouverture de cette gamme de produit au SmartTV et lecteurs de salon connecté, concentre les attaques sur ces nouveaux venus qui n’ont pas encore tiré parti du savoir-faire de l’écosystème de la PayTV. 

Enfin, pour les STB Broadcast (Staellite, TNT, câble), les attaques par Card sharing sont encore fréquentes. Le concept est de capturer les Control Words (clefs de chiffrement changeant toutes les 10 secondes) en clair circulant sur le lien série entre la carte à puce est le terminal et de les mettre à disposition via Internet.

Menaces sur les consoles de jeu

A rédiger


Industrialisation des attaques

Il est de notoriété publique que la sécurité totale est une chimère. Une entité disposant de ressources techniques, humaines et financières parviendra à défaire les meilleures protections. 

Les bandes organisées de la cybercriminalité contemporaine visent des rendements financiers. Dorénavant, il s’agit d’une logique de rentabilité. Les cybercriminels s’organisent en conséquence comme tout acteur économique crédible. Leur dévolu peut se jeter sur n’importe qu’elle cible leur promettant un retour sur investissement.

Evolution des attaques autour de la Box Internet

L’évolution des attaques ciblant les terminaux fixes est d’exploiter une faille logicielle ou la connaissance d’un mot de passe pour compromettre massivement un système. Pour les Box il s’agit de conduire des compromissions à des fins de pharming pour conduire des attaques par phishing mais aussi plus généralement toute attaque ayant un retour sur investissement pour les pirates. 

Ce nouveau postulat, centré sur la Box, apporte de nombreux avantages aux pirates. Le type de plateforme à circonvenir est plus réduit comparé aux multiples versions de Windows, Apple, Linux et tous les objets connectés multimédia ou non. Ce principe, centré sur la Box, rend la compromission plus furtive car les Box ne possèdent pas de logiciel de sécurité (anti-malware, anti-virus, anti-intrusion) en mesure de détecter une attaque. Même un utilisateur averti ne peut pas détecter ces compromissions s'il ne possède pas d'accès au système.

Après la découverte d’une vulnérabilité exploitable par les pirates, une attaque massive devient industrialisable. Un vecteur de compromission de Box possède un facteur démultiplicateur car la Box est le passage obligé de tous les équipements du foyer, et même des équipements tiers de passage. Du point de vue du pirate, ce sont autant de vecteurs de fraudes intéressants.

Motivation de l’attaque de Box

Tous les arguments évoqués supra font des Box des cibles intéressantes pour les cybercriminels déterminés par l’appât du gain.

Le vol de données et d’identifiants, la redirection des utilisateurs vers des sites malveillants, la capture de communication, etc. sont des actions réalisables pour celui qui contrôle le routeur domestique. 

La position centrale des Box dans les réseaux domestiques en font une cible de choix, de surcroît, elles captent aussi les systèmes itinérants comme des terminaux d’amis ou des nomades du voisinage connectés au point d’accès WiFi de la Box. Les compromissions restent furtives car les Box ne disposent pas de capacité de détection avancée contre les attaques. Elles voient passer tous les trafics vers Internet et peuvent participer à un botnet ou à des fraudes distribuées (phishing, fraude au clic ou à l’affiliation, etc.) sans réel risque de découverte.

Les Cybercriminels recherchent la profitabilité, ce postulat a vu une montée en puissance des attaques massives de pharming et phishing centrées sur des Box comme au Mexique et au Brésil ou encore avec le malware "DNS Changer" sur un spectre d’équipements plus large. 

Les agences étatiques de sécurité de l’information dans plusieurs pays se mobilisent contre ces nouvelles menaces. En France, l’ANSSI a axé ses exercices nationaux Piranet sur ce thème, tandis que les exercices "Cyber Europe" de l’ENISA ont ciblé ces catégories de menaces sur un plan Européen.

Principaux problèmes de sécurité de l’écosystème de la Box

Aujourd'hui, les périphériques réseau tels que les modem/routeurs et autres Box font partie intégrante des environnements domestiques et des petites entreprises. En règle générale, ces équipements sont fournis par le FAI de l'abonné et parfois acheté par l’utilisateur. 

Ces équipements sont généralement administrés par des personnes possédant peu ou pas de connaissance technique particulière. Souvent mal configurés et vulnérables, ces dispositifs deviennent une proie facile pour les pirates, donnant aux Cybercriminels un contrôle rapide et un accès à tous les équipements du réseau domestique compromis. 
Ces équipements en apparence anodins offrent une furtivité idéale pour les pirates, que ce soit pour maîtriser les communications ou héberger des logiciels malveillants.

Les mots de passe connus


Les périphériques réseau domestiques sont conviviaux et requièrent un simple branchement sur le réseau pour fonctionner. Pour en arriver à cet état, la configuration par défaut n’est bien souvent pas ou peu sécurisée et un utilisateur lambda ne changera pas le mot de passe par défaut du routeur nouvellement déployé. Cela ouvre une brèche importante parce que les mots de passe par défaut des équipements sur étagère sont bien connus des pirates. Pour s’en convaincre, rien de tel que d’aller visiter des sites spécialisés et

Les mots de passe par défaut concernent une des plus grandes vulnérabilités de ces gammes d'équipements réseau, mais ce n’est pas le seul. Parfois, un fabricant fourni l'administration sans mot de passe par défaut ou encore accessible depuis l’interface publique sur Internet ou bien même dispose d’un compte pour son support technique sans réelle protection. En cas de découverte de ce mode opératoire, l’affaire peut devenir tragique.

Les vulnérabilité concerptuelles d’UPnP


D’autres vulnérabilités concernent des fonctionnalités comme UPnP (Universal Plug and Play) et le profil IGD (Internet Gateway Device). UPnP est un ensemble de protocoles qui simplifie la coopération entre les périphériques réseau tels que les ordinateurs, les imprimantes, les routeurs/modems, etc. 

UPnP définit la façon dont ces équipements se découvrent automatiquement et établissent une communication. Une fois connecté au réseau, un dispositif compatible UPnP ne nécessite aucune intervention de l'utilisateur pour mettre en place une configuration adaptée. Idéal pour l'utilisateur lambda, UPnP ne possède aucune méthode d'authentification et par voie de fait, n'a besoin d’aucun identifiant pour effectuer des actions critiques comme la modification de paramètres du routeur ou la modification de règle de trafic entrant, traversant le coupe-feu. 

UPnP IGD permet à des applications du LAN de solliciter le routeur pour en modifier sa configuration sans authentification par une simple requête SOAP XML normalisée.
De telles fonctions permettent de modifier la politique de sécurité du firewall du routeur en ouvrant des flux entrant depuis Internet. UPnP IGD spécifie même une fonction pour modifier les paramètres DNS de la Box, heureusement quasiment jamais implémentées. 
Certains routeurs domestiques ne permettent pas d’invalider UPnP. De surcroit, la plupart des routeurs domestiques supportant UPnP IGD, l’active par défaut. 
Les cas les plus néfastes de certaines implémentations d’UPnP IGD ont permis de rendre accessible depuis Internet une interface Web d’administration initialement ouverte que côté LAN ou encore d’utiliser la Box comme proxy ouvert, masquant les IP des pirates avec l’IP publique de la Box.

Ce protocole offre une nouvelle surface d’attaque de choix aux cybercriminels.

Interface Web de gestion

Malheureusement, même les utilisateurs les plus attentifs ne peuvent s'assurer que leurs équipements sont bien sécurisés. De nombreuses vulnérabilités potentielles existent dans le firmware de ces périphériques. En particulier les interfaces Web d’administration sont particulièrement sujettes au contournement de l'authentification par des attaques CSRF, d’autant plus lorsque le mot de passe est connu. 

En général, ni les utilisateurs, ni les fournisseurs ne semblent avoir pris pleinement la mesure de ces menaces.


Panorama de malwares ciblant les routeurs domestiques


Hydra

Le premier malware connu pour routeur domestique est Hydra, apparu en 2008. C’est un logiciel open-source ciblant la plateforme MIPS. Classiquement, il était managé par C&C IRC et son but principal était d'accéder aux routeurs en utilisant des attaques de mots de passe. Sa destination finale visait l'exécution d’attaques DDoS.

L’obtention d’un accès au routeur était basée sur une liste intégrée de mots de passe par défaut ou avec l'utilisation d'un exploit de contournement de l'authentification de routeurs D-Link. L’un de ces descendants, début 2012, nommé Aidra, infecte des routeurs domestiques, des Set-Top-Box, des media center et des caméras IP.

Psyb0t sur MIPS

Psyb0t est un malware décelé in-the-field infectant des périphériques réseau domestique directement entre eux. Découvert par le chercheur australien Terry Baume en janvier 2009, il a été utilisé lors d'une attaque DDOS sur le portail DroneBL par un botnet composé de routeurs infectés par psyb0t.

Psyb0t est un bot IRC qui se connecte au serveur en quête de commandes à exécuter. 
Quand il a été découvert, le bot scannait tous les périphériques du réseau et tentait d'accéder à des routeurs en utilisant des mots de passe par défaut ou via un exploit pour contourner l’authentification (shellcode pour architecture MIPSel). Le malware se propageait à travers le réseau via SSH, telnet ou HTTP, en infectant tous les périphériques vulnérables découverts. Psyb0t est destiné à divers attaques de DDoS, à la propagation virale de routeur en routeur (par mot de passe), à l'exécution de commandes shell et à l'accès par dictionnaire à d'autres services comme MySQL, PHP MyAdmin, serveurs FTP, partages SMB, etc. 

Comme le firmware du routeur est généralement en lecture seule, Psyb0t réside exclusivement en RAM. Un simple redémarrage de l’équipement le désinfecte. Néanmoins, les équipements vulnérables sont aussitôt infectés de nouveau à moins que le mot de passe n’ait été changé ou que le firmware soit mis à jour. Comme les routeurs sont rarement redémarrés, cela permet au malware de résider pour de longue période sans difficulté.

Le 22 mars 2009, son créateur a lancé des commandes d’auto destruction sur le canal IRC. Le botnet avait atteint 100 000 machines infectées. 

Psyb0t a été conçu pour fonctionner sur architecture RISC sous Linux sur plate-forme MIPSel (little endian) comme par exemple les distributions pour routeurs domestiques comme OpenWRT et DD-WRT. MIPS/MIPSel est l’architecture matérielle majoritaire des routeurs domestiques mais aussi professionnels.

Le binaire était compressé et chiffré avec le packer open source UPX (bien que l’en-tête ait été modifiée en extrayant la chaine « UPX ! »). Après décompression, psyb0t cherche s’il est déjà actif sur l’hôte. Dans la négative, il charge le payload depuis un serveur HTTP ou TFTP servi par le routeur attaquant, puis lance l’exécution du code malveillant.
Bien que le botnet Psyb0t ait disparu fin mars 2009, en décembre 2009 des chercheurs de l'Université Masaryk en République tchèque ont découvert un autre bot IRC pour routeur qui ressemble à bien des égards à Psyb0t.

tsunami

Au début mars 2010, une nouvelle version est apparue en Amérique latine, probablement un descendant direct du précédent malware. Ce binaire a été classé comme une variante du Backdoor.Linux.Tsunami car il partage des traits communs avec Tsunami et avec Psyb0t (compression et chiffrement UPX avec la même clef).

SYNful Knock


En septembre 2015, les chercheurs en sécurité de la société FireEye ont révélé l’existence d’un malware ciblant les routeurs Cisco. Bien que le vecteur d’infection ne soit pas identifié, la supposition est qu’il s’agit d’une infection réalisée à cause de la faiblesse de mot de passe et la présence d’accès telnet ou SSH sur des interfaces publiques du routeur.