L’attaque DDoS, écran de fumée pour la fraude et le vol

0
103

“L’attaque DDoS, écran de fumée pour la fraude et le vol” – Tribune par Eric Michonnet, Directeur Central Europe, Southern Europe & North Africa chez Arbor Networks.

Une attaque DDoS n’a rien de subtil. Votre console de réponse aux incidents se met à clignoter comme un sapin de Noël. Des alarmes se déclenchent pour indiquer que votre réseau est à terre ou sérieusement perturbé. Les utilisateurs et les responsables des systèmes d’information vous envoient des messages paniqués pour signaler la paralysie de l’entreprise. Pendant ce temps, les questions se bousculent dans votre tête : qui s’en prend à vous ? Dne sorte de cyber-racketteur ? Un concurrent indélicat ? Des hacktivistes tentant de faire passer un message ?

Or tout cela pourrait être encore plus dramatique qu’il n’y paraît à première vue. Une attaque DDoS est parfois un écran de fumée destiné à masquer des activités bien plus dommageables, telles qu’un vol ou une fraude. Pendant que vous vous escrimez à neutraliser l’attaque DDoS et à remettre en ligne les applications critiques, des cybercriminels pourraient être en train d’opérer en coulisses dans vos systèmes afin de perpétrer des actions encore plus malveillantes. Quelques exemples :

  • Des pirates ont bombardé le site Internet de The Phone House avec du trafic pendant qu’ils dérobaient les informations personnelles et bancaires de 2,4 millions de clients.
  • Le prestataire cloud Linode a récemment subi plus de 30 attaques DDoS qui avaient en définitive pour but de faire diversion pendant le piratage de comptes utilisateurs.
  • Dès 2011, des pirates ont utilisé des attaques massives par déni de service afin de détourner l’attention des équipes informatiques de Sony tandis qu’ils volaient les informations des comptes de millions de clients.
  • Le FFIEC (Federal Financial Institutions Examination Council) a alerté les banques sur l’utilisation d’attaques DDoS comme technique de diversion « par des criminels tentant de commettre des fraudes au moyen d’identifiants volés à des clients ou des employés, par exemple des virements ou autres transferts de fonds frauduleux. »

DDOS-attacks_cost

Ces attaques de diversion sont de plus en plus fréquentes, peut-être en raison de la grande facilité à se procurer les logiciels servant à lancer des attaques DDoS. L’étude Arbor WISR 2016 sur la sécurité des infrastructures IP mondiales, réalisée auprès de plus de 350 opérateurs et entreprises, révèle que 26 % des attaques DDoS ont servi d’écran de fumée pour dissimuler un piratage ou une exfiltration de données. Cette proportion n’était que de 16 % l’année précédente et a donc augmenté de 61 %. Ces résultats font écho à une récente enquête de Kaspersky Lab, selon laquelle 26 % des attaques DDoS ont abouti à la fuite de données sensibles.

Que peut cacher une attaque DDoS ?

Des attaques DDoS sont utilisées comme diversion ou écran de fumée à diverses étapes de la chaîne de frappe d’une cyberattaque. Les cas suivants ont tous été documentés dans le cadre d’attaques complexes.

  • Reconnaissance : à ce stade initial, les cybercriminels lancent une attaque DDoS de petite ampleur pour jauger votre dispositif de sécurité et votre capacité de réponse. S’ils trouvent votre sécurité faible, ils poursuivent discrètement leur inspection en scrutant des ports réseau à la recherche de vulnérabilités à exploiter pour pénétrer dans votre système. Les informations collectées durant cette phase seront utilisées pour la phase d’extraction des données ou d’exécution de la mission.
  • Propagation de malware/exploitation : une fois à l’intérieur de votre réseau, les cybercriminels répandent des programmes malveillants sur vos machines. Pour couvrir leurs traces, ils lancent une attaque DDoS qui sature vos outils de détection et d’investigation des menaces, rendant le piratage et les implants de malware beaucoup plus difficiles à repérer.
  • Extraction des données/exécution de la mission : dans cette phase finale, les pirates lancent une attaque DDoS de diversion tandis qu’ils dérobent des données confidentielles (fichier de cartes de crédit, propriété intellectuelle ou autres informations de valeur qui leur tombent entre les mains). Ayant ainsi détourné votre attention, ils peuvent tranquillement s’esquiver ni vus ni connus avec leur butin, et l’attaque DDoS prend fin mystérieusement.

Ne soyez pas une proie facile !

Si vous êtes frappé par une attaque DDoS, gardez à l’esprit qu’il ne s’agit peut-être pas d’un événement isolé. Vérifiez qu’il ne se passe rien à l’intérieur de votre réseau qui puisse être lié à cette attaque, au risque de conséquences bien pires. En fait, il est possible que vous tiriez de l’attaque DDoS certains indices qui vous aideront à mener plus loin vos investigations. Par exemple, si vous savez d’où vient l’attaque, cela pourrait indiquer qui est à l’origine de la menace et quelles sont ses tactiques, techniques et procédures (TTP), et vous aider à rechercher d’autres indicateurs d’infection (IoC, Indicators of Compromise) susceptibles de révéler que vous êtes victime d’une campagne de plus grande envergure.

Mais pourquoi prendre le risque au départ ? La prévention des attaques écrans de fumée et de leurs dommages potentiellement dévastateurs est une raison supplémentaire expliquant pourquoi de nombreuses entreprises investissent dans une robuste protection anti-DDoS. Comme un cambrioleur recherchant une porte non fermée à clé, les cybercriminels sont en quête d’une proie facile. S’ils s’aperçoivent que vous avez mis en place des défenses capables de parer leur attaque initiale, il y a davantage de chances qu’ils abandonnent leur projet et se tournent vers une victime plus à leur portée.