En gros, que c'est-il passé ? Quelques courriers électroniques contenant un document Word attaché ont été envoyés a des personnes spécifiques dans l'entreprise ciblée. Ce document contenait un exploit pour une vulnérabilité jusqu'alors inconnue dans le traitement de texte de Microsoft, ce qu'on appelle un bon gros 0-Day des familles. Le code malveillant installait un trojan sur la machine et remplaçait la pièce jointe vérolée par une autre propre. Ce trojan, qui utilise des fonctionnalités de rootkit pour se dissimuler, scanne alors l'environnement, tout en communicant avec son maître en utilisant des requêtes HTTP, éventuellement envoyées à travers un proxy si nécessaire. L'attaque aurait été tracée aux alentours de la Chine et/ou Taiwan...

Le bonheur, tous les ingrédients sont réunis pour un succès :

  • Vecteur d'attaque courant et ciblé : courrier électronique ;
  • Charge furtive : exploitation d'une faille non connue, pas de signature dans les antivirus ;
  • Application ciblée courante : application bureatique ultra-répondue, Microsoft Word ;
  • Code malicieux dissimulé actif : trojan/backdoor/rootkit, un bot bien évolué et sur mesure en définitive ;
  • Vecteur de communication vers l'extérieur efficace et banalisé : HTTP, avec utilisation de la configuration du poste (proxy, éléments d'authentification) ;

Sympathique n'est-ce pas ? Je ne vais pas paraphraser plus longtemps l'analyse de cet incident. Je préfère vous renvoyer aux autres posts publiés par l'ISC du SANS sur la question, ils valent le détour et fournissent une tonne de liens intéressants :

Alors, les attaques ciblées, toujours un délire paranoïaque de consultant sécurité en mal de reconnaissance ? Manifestement non, et j'imagine déjà les discussions que ça va donner demain à la JSSI.