Posté le octobre 13, 2020 à 10:28
LES HACKERS UTILISENT DES OUTILS DE PIRATAGE OFFENSIFS POUR FACILITER LEURS ATTAQUES
La communauté des internautes est constamment confrontée aux menaces les plus importantes que représentent les logiciels malveillants et les cyberattaques, avec des millions de dollars de pertes mensuelles dues aux attaques. Les acteurs malveillants utilisent toute une série d’outils pour exploiter les systèmes vulnérables et y accéder.
Un rapport récent a révélé que certains acteurs malveillants utilisent désormais des outils de piratage offensifs open-source pour exploiter les systèmes et les réseaux.
Ces outils, communément appelés OST dans le domaine de la cybersécurité, sont des bibliothèques, des exploits et des applications logicielles qui peuvent être utilisés pour des activités de piratage offensif et qui sont diffusés sous licence de source ouverte ou en téléchargement gratuit.
Ils sont généralement diffusés pour offrir des exploits de preuve de concept pour une nouvelle vulnérabilité. Parfois, ils sont utilisés comme des utilitaires de test de pénétration ou pour montrer une nouvelle technique de piratage.
Mais certains mauvais acteurs peuvent trouver des moyens d’utiliser les outils et essayer de pirater les systèmes, comme cela a été signalé récemment.
Aujourd’hui, la discussion sur les outils OST est l’une des plus controversée, car certaines personnes sont contre leur diffusion, tandis que d’autres en voient plutôt les avantages.
Ceux qui sont en faveur de ces outils font valoir qu’ils peuvent permettre aux organisations et aux experts en cybersécurité de préparer les réseaux et les systèmes à de futures attaques.
D’autre part, ceux qui sont contre les outils de l’OST affirment que ces outils aident les hackers à dépenser moins pour développer leurs outils, ce qui les encourage à cacher leurs activités dans des tests en ligne et des pen-tests légitimes.
Ils ont fait valoir que si les attaquants pouvaient réduire leurs coûts opérationnels et tirer parti des outils de l’OST, cela entraînerait davantage d’attaques à l’avenir.
Définition des règles d’utilisation des OST
Depuis plus de dix ans, la communauté de la cybersécurité n’a pas fait de trêve concernant la diffusion des outils OST. Mais la plupart de leurs arguments ont été fondés sur des convictions et des expériences personnelles, et non sur des données brutes réelles.
Toutefois, un chercheur en sécurité de la société de cybersécurité Intezer Labs, Paul Litvak, a tenté de résoudre ce problème en obtenant des informations sur la véritable nature des outils OST.
Il a recueilli des données sur 129 outils de piratage open source et a examiné plusieurs rapports de cybersécurité et des échantillons de logiciels malveillants. La recherche visait à déterminer combien de groupes de hackers ont adopté les outils OST pour leurs activités de piratage.
Il a dressé la liste, qui comprend des groupes de criminalité financière d’élite, des bandes de logiciels malveillants de bas niveau, ainsi que des API commanditées par des États-nations.
Les groupes populaires soutenus par l’État adoptent également les OST
M. Litvak a découvert que les OST sont largement adoptés par les acteurs malveillants de l’écosystème de la cybercriminalité, y compris les acteurs malveillants populaires soutenus par l’État comme TrickBot et DarkHotel. Nombre de ces groupes ont utilisé des bibliothèques ou des outils qui ont d’abord été utilisés par des entreprises de cybersécurité, et ils sont maintenant fréquemment utilisés pour la cybercriminalité.
M. Litvak a déclaré que son équipe de recherche a découvert que les outils de la RAT et les bibliothèques d’injection de mémoire sont deux des projets les plus couramment utilisés dans l’écosystème de la cybercriminalité.
« Nous avons découvert que les projets les plus couramment adoptés sont les bibliothèques d’injection de mémoire et les outils de la RAT », a-t-il déclaré.
Parmi les autres projets utilisés massivement, citons Quasar, Powersploit, ainsi qu’Empire. Mais sans surprise, le groupe des mouvements latéraux était dominé par Mimikatz.
Cependant, alors que le Win7Elevate était dominé par des groupes de hackers asiatiques, la bibliothèque UACME dominait la bibliothèque de contournement de l’UAC. La domination de l’Asie sur Win7Elevate est due à la base d’installation régionale plus importante de Windows 7.
Litvak pense que beaucoup d’autres hackers apprécient encore les outils fournis sur le forum des black hats en raison de leurs fonctionnalités supérieures. Ainsi, d’autres gangs de logiciels malveillants adoptent ces outils au lieu des outils offensifs proposés par la communauté de la cybersécurité.
Réduction des abus des OST
M. Litvak a observé que les outils OST aux caractéristiques plus complexes sont plus difficiles à convertir et à utiliser par les acteurs malveillants. Selon lui, il faudra un niveau de compréhension plus approfondi pour que tout hacker puisse les utiliser, ce qui va clairement à l’encontre de leurs avantages pour les hackers.
M. Litvak a indiqué que les chercheurs doivent recourir à une approche plus technique lors du développement ou de la conception d’un outil OST. Ils devraient intégrer la complexité dans le code.
Ainsi, la bonne façon de limiter l’abus des OST est de les rendre plus complexes à adopter pour les hackers. S’ils ne peuvent pas ajouter des fonctionnalités plus complexes, M. Litvak a déclaré qu’ils devraient rendre le code un peu plus unique pour dissuader les hackers.
