Hacking your bank. Ce billet publié sur le blog Snosoft décrit, étape après étape, comment une équipe de pentesters a pu pénétrer non seulement sur le système d’information principal d’une banque américaine, mais encore accéder à la majorité des serveurs secondaires, stations de travail et programmes « métiers » utilisés par l’entreprise. La méthode peut être appliquée n’importe où dans le monde, exception faite en France ou pas une seule fois un établissement bancaire a perdu la moindre information et où jamais la main d’un pirate n’a pu poser le pied.
La phase d’approche (un classique du genre) débute avec un examen général des réseaux sociaux. Quelques profils Facebook Monster, Dice, Hot Jobs et LinkedIn plus loin, l’équipe de Snosoft peut dresser un profil assez précis des relations tissées entre les différents employés de l’entreprise et, de fil en aiguille, apprennent qu’un poste de responsable informatique est à pourvoir.
Il ne faut pas longtemps pour qu’un curriculum vitae et une lettre de motivation exemplaire parvienne à la direction de ladite banque, laquelle décide d’un entretien d’embauche dans la foulée. Et c’est au cours de cet entretien (diable, il faut bien que le candidat s’informe de la tâche qu’il aura à remplir) que sont dévoilés quelques « points de détail » capitaux : type d’antivirus déployé, détails sur les politiques de sécurité, systèmes d’exploitation en place… malheureusement pour la Direction du Personnel, l’Admin Idéa qui s’est présenté ce jour-là ne donnera plus signe de vie.
Car à peine rentré chez Snosoft, notre taupe concocte un cocktail à base de pdf empoisonné, spécialement étudié pour être invisible à l’antivirus « corporate ». Pdf qui sera ouvert par un employé trop confiant (lequel, depuis, a probablement appris à utiliser des lecteurs de pdf « en ligne ») avec le résultat que l’on devine.
Le poste de travail une fois infecté, les pentesters ouvrent une liaison HTTPS sortante. HTTPS car le tunnel est chiffré, et sortante car il est fréquent que les firewalls laissent passer les communications provenant de l’intérieur sans le moindre contrôle de la part des IDS. La suite se passe de commentaire. Une fois dans la place, une rapide série d’attaques en Arp poisoning dévoile l’existence de communications VNC qui, une fois légèrement bousculées, ouvrent à distance un accès sur l’administration des Directory Services du contrôleur de domaine principal. Les crédences –login et mot de passe- suivent dans la foulée. Rapidement, les hackers s’aperçoivent que les mots de passe utilisés par les administrateurs pour accéder au domaine permettent aussi d’ouvrir des sessions sur d’autres serveurs d’applications ainsi que des équipements de commutation Cisco.
Le scénario pourrait faire hausser les épaules d’un responsable sécurité. Tout ceci est classique, rebattu, déjà vu, sans la moindre originalité. Un peu d’ingénierie sociale, deux doigts de brute force, un soupçon de Metasploit, l’expertise de VirusTotal… Le scénario ferait presque bailler s’il ne se déroulait pas en 2010 et qu’il ne concernait pas une banque.
Concluons avec un tout autre billet signé Nick Chapman de SecureWorks, qui nous décrit avec force détails comment fonctionne un pdf forgé (un véritable, cette fois ci) et réellement expédié à un employé de banque, semble être utilisé par des professionnels de l’extorsion d’informations en ligne. Il y a du Didier Stevens dans l’air… mais pas seulement. L’avantage, avec une telle technique, c’est qu’il n’est plus nécessaire d’attendre les orages survenant un vendredi soir de week-end prolongé : le bruit de la perceuse à pdf ne dérangera pas les voisins.