« Cloud Snooper », une attaque ciblée sophistiquée permet aux logiciels malveillants de communiquer à travers les pare-feux
Sophos publie nouveau rapport sur Cloud Snooper
Sophos (LES : SOPH), leader mondial en solutions de cybersécurité Next-Gen, publie aujourd'hui un rapport des SophosLabs sur Cloud Snooper, une attaque sophistiquée qui utilise une combinaison unique de techniques pour permettre aux logiciels malveillants présents sur les serveurs de communiquer librement avec ses serveurs de commande et de contrôle à travers des pare-feux. Le rapport présente les tactiques, techniques et procédures (TTP) utilisées dans l'attaque. Les SophosLabs estiment que l'attaque était l'œuvre d'un État-nation motivé par l'espionnage.
Comme l'explique le rapport, les TTP utilisées ensemble comprennent : un rootkit contournant les pare-feux, une technique rare pour accéder à des serveurs déguisés en trafic normal, et une porte dérobée qui partage le code malveillant entre les systèmes d'exploitation Windows et Linux, une approche connue mais peu commune. Bien que chaque élément individuel ait déjà été observé lors d'attaques menées par des adversaires hautement qualifiés, ils n'ont jamais été vus auparavant en combinaison. Sophos s'attend à ce que ce paquet de TTP descende jusqu'aux échelons inférieurs de la hiérarchie cybercriminelle et soit utilisé comme modèle pour les nouvelles attaques de pare-feu.
"C'est la première fois que nous voyons une formule d'attaque qui combine une technique de contournement avec une charge utile multi-plateforme ciblant à la fois les systèmes Windows et Linux. Les équipes de sécurité informatique et les administrateurs de réseau doivent faire preuve de diligence pour appliquer des correctifs à tous les services externes afin d'empêcher les attaquants de se soustraire aux politiques de sécurité du cloud et des pare-feu", a déclaré Sergei Shevchenko, responsable de la recherche sur les menaces aux SophosLabs. "Les équipes de sécurité informatique doivent également se protéger contre les attaques multi-plateformes. Jusqu'à présent, les ressources basées sur Windows ont été la cible typique, mais les attaquants s'intéressent de plus en plus aux systèmes Linux car les services dans le cloud sont devenus des terrains de chasse populaires. C'est une question de temps avant que d'autres cybercriminels n'adoptent ces techniques".