Par Arie Fred, VP du produit, SecBI
Le cheval de Troie d’accès à distance (RAT) peut presque être considéré comme l’outil « hérité » des pirates informatiques. Le RAT est un programme malveillant qui utilise une porte dérobée pour prendre le contrôle administratif de l’ordinateur ciblé. En tant que tels, les RAT sont utilisés pour des opérations « basses et lentes », prolongées et furtives, comme les APT. Grâce à cette technique malveillante, les attaquants prennent leur temps pour explorer les réseaux et les actifs de la victime, puis se déplacent aussi discrètement que possible pour atteindre leurs objectifs sans être détectés. Certains APTs sont en activité depuis des années et les RATs jouent un rôle crucial en permettant aux attaquants d’accéder aux cibles tout en évitant la détection.
Bien que les RAT existent depuis un certain temps déjà, leur « popularité » n’a pas augmenté parmi les malwares, car ils étaient considérés comme compliqués à développer et à exploiter, exigeant des compétences élevées de la part des hackers. Mais cette tendance a semblé changer au cours de l’année dernière. Au cours des 18 derniers mois environ, les RAT sont devenus plus facilement disponibles et accessibles, entraînant une augmentation du nombre de victimes de RAT, qui ne sont pas équipées pour détecter et atténuer cette menace de malware.
Les RAT sont désormais bon marché et disponibles dans le commerce
Deux facteurs majeurs contribuant à l’utilisation généralisée des RAT sont leur disponibilité et leur caractère abordable. Par exemple, un outil appelé « Imminent Monitor » Remote Access Trojan (IM-RAT). IM-RAT permettait aux cybercriminels d’accéder librement aux machines des victimes. Il était suffisamment intelligent pour contourner les logiciels antivirus et de détection des logiciels malveillants, exécuter des commandes telles que l’enregistrement des frappes au clavier, voler des données et des mots de passe, et observer les victimes via leurs webcams. Tout cela pouvait être fait à l’insu de la victime.
Tout cet ensemble de fonctionnalités, éprouvé sur le terrain et facile à utiliser, était vendu aussi peu cher que 25 dollars l’unité. Heureusement, la police fédérale australienne (AFP), avec une activité internationale coordonnée par Europol et Eurojust ont pu démanteler l’infrastructure du RAT et l’arrestation d’un certain nombre des utilisateurs les plus prolifiques de ce cheval de Troie d’accès à distance (RAT). Le développeur et un employé d’IM-RAT ont été arrêtés en Australie et en Belgique en juin 2019, et l’outil, qui était utilisé dans 124 pays et vendu à plus de 14 500 acheteurs, n’est plus disponible.
Au Canada, un outil d’accès à distance destiné aux administrateurs s’est avéré être, en fait, un RAT. Son développeur et son responsable du développement commercial, qui travaillaient depuis Toronto sous l’entité juridique « Orcus Technologies » ont été arrêtés. Les forces de l’ordre ont déclaré que le duo vendait et aidait les acteurs malveillants à installer la RAT Orcus sur les ordinateurs d’autres personnes, et qu’il gérait également un service de serveur de noms de domaine dynamique (DDNS) qui aidait le logiciel malveillant à communiquer avec les hôtes infectés sans révéler l’adresse IP réelle du pirate.
Méthodes d’infection innovantes
Une fois que les cybercriminels ont mis la main sur la RAT, ils emploient des moyens très créatifs pour intégrer le logiciel malveillant sur les systèmes des victimes. Bien que, le top des méthodes d’infection reste via un document armé reçu par email, d’autres méthodes gagnent malheureusement en popularité, comme:
- Se faisant passer pour le jeu Tetris, un groupe de pirates a utilisé une version open-source du jeu Tetris des années 90 pour cacher PyXie RAT et infecter des organisations.
- Via Facebook, un RAT nommé FlawedAmmyy a infecté des cibles militaires. Les chercheurs ont constaté qu’une fausse page Facebook se faisant passer pour un officier militaire américano-libyen nommé Khalifa Haftar se concentrait sur des contenus liés à la politique et à l’armée, joignait également des URL permettant de télécharger des fichiers indiquant qu’il s’agissait de fuites provenant des unités de renseignement libyennes. Ce n’est pas tout, certaines URL étaient présentées comme des sites légitimes permettant aux citoyens de s’inscrire à l’armée.
- L’utilisation d’une fausse invitation à une réunion WebEx.
Les RAT sont utilisés pour une multitude d’usages néfastes
Une fois installés, les pirates ont un contrôle total à distance du système de la victime, dont ils peuvent abuser de nombreuses manières. Certains l’utilisent pour collecter des renseignements sur des cibles militaires et diplomatiques, d’autres pour obtenir les données personnelles et les détails de paiement des clients d’un hôtel, et d’autres pirates prennent le contrôle pour assouvir leurs désirs sexuels via le voyeurisme, comme cet homme britannique récemment emprisonné pour avoir utilisé la RAT pour espionner ses victimes à l’aide de la webcam.
Conclusion
Donc, les RAT sont capables, disponibles et excessivement abordables pour pirater facilement les réseaux. Cela crée un défi pour les organisations qui doivent se sécuriser contre cette menace. Malheureusement, la plupart des mécanismes de prévention existants ne seront pas en mesure d’identifier le RAT et d’empêcher l’infection car le RAT sait comment rester sous leur radar. De même, la plupart des mécanismes de sécurité des points de terminaison et la solution réseau/périmètre ne seront pas d’une grande aide pour identifier les RAT.
La technologie d’apprentissage automatique de SecBI basée sur son algorithme d’analyse en grappes a et continuera d’identifier les modèles d’activité des RAT et d’alerter les analystes concernant ses méthodes d’exploitation « faibles et lentes ». Êtes-vous d’accord pour dire qu’il est temps de mettre à jour votre cyberdéfense pour détecter et remédier rapidement aux logiciels malveillants « faibles et lents » ?