La particularité : les attaquants sont parvenus à passer inaperçus grâce à des malware situés dans la mémoire RAM, et ne laissant que très peu de traces.

La technologie In Memory  (1) est bien connue des spécialistes du big data ou de la business intelligence ; les cybercriminels n’hésitent pas à mettre à profit cette technique.

Kaspersky révèle le modus operandi des hackers  utilisant cette technique afin d’échapper aux outils de détection des sociétés chargées d’analyser les attaques.

Déjà, l’année dernière, le malware Mirai était apparu dans la mémoire vive des objets connectés qu’il infectait.

ð Mais dans le dernier cas, la technique est utilisée pour s’attaquer à des banques et des sociétés de télécommunications, sans laisser de traces permettant facilement d’identifier les attaquants.

Vicente Diaz, Principal Security Analyst chez Kaspersky lab indique : «Pour l’instant, nous ne sommes pas en mesure de déterminer s’il s’agit d’un groupe spécifique ou de plusieurs. Mais la technique nous a paru intéressante et c’est ce que nous souhaitons mettre en avant».

 «Les attaquants à l’origine de ce type d’attaque exploitent principalement des logiciels tout à fait légitimes : des outils de pentesting* type Meterpreter, ou encore le framework Powershell ** fournis par Windows. Concrètement, aucun malware n’est installé sur le disque et le code malveillant réside « in memory », ce qui rend ce type d’attaque particulièrement difficile à détecter »

La logique des attaquants : viser un système et non pas de viser un ordinateur.

Ici, la persistance du malware sur la machine n’est pas nécessaire : les attaquants profitent d’une faille généralement connue pour affecter un serveur, puis exploitent Meterpreter ainsi que des scripts Powershell afin de se déplacer dans le réseau puis de prendre par exemple le contrôle du contrôleur de domaine.

Les attaquants exfiltrent ensuite les données volées (principalement les identifiants) vers leur serveur de contrôle en utilisant NETSH, un autre utilitaire Windows.

Au premier redémarrage de la machine, l’ensemble des traces de leur passage disparaît : il est ainsi impossible de retrouver sur le disque des fichiers identifiés comme malveillants par les outils traditionnels d’inforensique (1).

« Dans ces incidents, les attaquants ont utilisé toutes les techniques anti-investigations possibles et imaginables, faisant la démonstration qu’aucun fichier malveillant n’est nécessaire pour exfiltrer avec succès des données d’un réseau et que l’emploi d’outils légitimes et open source rend une attribution quasi impossible », souligne Sergey Golovanov, chercheur en sécurité chez Kaspersky Lab.

ð Kaspersky a été capable de détecter plus de 40 infections dans différents pays.

Les USA restent le premier pays visé, mais la France pourrait compter environ 10 victimes selon Kaspersky.

Quelle solution face à ce type d’attaque, jugées quasi indétectable  par les équipes de Kaspersky?

«Nous avons mis en ligne plusieurs indicateurs de compromissions à destination des administrateurs qui souhaitent se prémunir. L’autre solution est de surveiller le trafic sur le réseau local afin de détecter des comportements suspects, ou encore vérifier l’activité des comptes utilisateurs sur le contrôleur de domaine principal » explique Vicente Diaz.

Dernière alternative possible : analyser directement la mémoire ram afin d’y retrouver des traces des scripts Powershell utilisés par les attaquants.

Mais, ces techniques sont globalement hors de portée des sociétés qui ne sont pas spécialisées dans la sécurité.

Les attaquants semblent plus enclins à viser les « gros poissons.

«Ce n’est pas la première fois que nous voyons ce type de technique mis en œuvre. Mais c’est la première fois que nous constatons son utilisation contre de réelles victimes, à plusieurs reprises. Cela pourrait être l’œuvre d’un groupe ou de plusieurs, nous ne savons pas encore »  souligne Vicente Diaz.

* Un test d'intrusion (« penetration test » ou « pentest » en anglais) est une méthode d'évaluation de la sécurité d'un système ou d'un réseau informatique.

** Windows PowerShell, anciennement Microsoft Command Shell (MSH), est une suite logicielle développé par Microsoft qui intègre une interface en ligne de commande, le langage de script PowerShell ainsi qu'un kit de développement. Il est inclus dans Windows 7 et Windows 10 (y compris les versions grand public) et s'appuie sur le framework Microsoft .NET.

(1)           Une base de données dite « en mémoire » (in-memory), ou IMDB (In Memory DataBase), ou encore MMDB (Main Memory DB), désigne une base de données dont les informations sont chargées dans la mémoire vive (RAM) du système, dans un format compressé non relationnel.

Une IMDB constitue un type de base de données analytique, un système qui stocke des données historiques portant sur des mesures destinées à des applications BI/BA (Business Intelligence/Business Analytics), généralement dans le cadre d'un entrepôt ou d'un magasin de données.

Ces dernières années, trois développements ont contribué à rendre l'analytique en mémoire de plus en plus abordable : l'informatique 64 bits, les serveurs multi-cœurs et la baisse du prix de la mémoire vive (RAM).

(2)          Qu'est-ce que l'inforensique ?

L'inforensique est la formulation en français du concept d'investigation numérique légale, appelé aussi « computer forensics » dans le monde anglophone.

Ce concept consiste en l'application de processus et techniques d'investigation permettant de collecter et d'analyser des éléments ayant valeur de preuves en vue d'une procédure judiciaire.

 L'objectif principal est donc la récupération et l'analyse de données prouvant un délit numérique.