Les RAT (chevaux de Troie d’accès à distance) peuvent être considérés comme un ancien outil utilisé par les pirates. Le RAT (Remote Access Trojan) est un programme malveillant qui utilise une porte dérobée (backdoor) pour le contrôle administratif de l’ordinateur ciblé. Les RAT sont utilisés pour des opérations furtives lentes et prolongées telles que celles de type APT (Advanced Persistent Threats). En utilisant cette technique malveillante, les attaquants prennent leur temps pour explorer les réseaux et les ressources de la victime, puis se déplacent aussi silencieusement que possible pour atteindre leurs objectifs sans être détectés. Certains APT fonctionnent depuis des années et les RAT sont essentiels pour permettre aux attaquants d’accéder aux cibles tout en évitant d’être repérés.
Bien que les RAT (Remote Access Trojan) existent depuis un certain temps maintenant, leur popularité n’a pas véritablement augmenté au sein des malwares. Considérés comme compliqués à développer et à exploiter, les RAT exigent un ensemble de compétences élevées en matière de piratage. Cette tendance aurait à priori changé, car ces derniers sont devenus plus facilement disponibles et accessibles, augmentant ainsi le nombre de victimes de RAT se voyant dans l’incapacité de détecter et mitiger cette menace de malware avec leurs solutions de sécurité.
Les RAT sont bon marché et commercialement disponibles
Les deux principaux facteurs contribuant à l’utilisation généralisée des RAT (Remote Access Trojan) sont leur disponibilité et leur prix abordable. Par exemple, un outil appelé Imminent Monitor Remote Access Trojan a fourni aux cybercriminels un accès gratuit aux machines des victimes. Il était suffisamment intelligent pour contourner les logiciels antivirus et ceux de détection de malwares, exécuter des commandes telles que l’enregistrement de frappe, le vol de données et de mots de passe et la surveillance des victimes via leurs webcams. Toutes ces actions pouvaient être réalisées sans que la victime ne s’en aperçoive.
Il était possible d’acheter tout cet ensemble de fonctionnalités, éprouvé sur le terrain et facile à utiliser pour la modique somme de 25 $ (environ 22€). Heureusement, la police fédérale australienne (AFP), grâce à une action internationale coordonnée par Europol et Eurojust, a pu démonter l’infrastructure du RAT et arrêter plusieurs des utilisateurs de ce dernier parmi les plus prolifiques. Les autorités ont arrêté le développeur et un employé d’IM-RAT en Australie et en Belgique en juin 2019, et l’outil, qui a été utilisé dans 124 pays et vendu plus de 14 500 fois, n’est plus disponible.
Au Canada, un outil d’accès à distance pour les utilisateurs de type administrateur s’est avéré être un RAT. Son développeur et business development manager, travaillant à partir de Toronto via l’entité juridique nommée Orcus Technologies, a été arrêté. Les forces de l’ordre ont déclaré que le duo avait vendu et aidé des acteurs malveillants à installer l’Orcus RAT sur les ordinateurs d’autres personnes et à exécuter un service DDNS (Dynamic Domain Server) qui aidait le malware à communiquer avec les hôtes infectés sans révéler la véritable adresse IP du pirate.
Méthodes d’infection innovantes
Après avoir mis la main sur le RAT (Remote Access Trojan), les cybercriminels utilisent des moyens très créatifs pour intégrer le malware dans les systèmes des victimes. Bien que la principale méthode d’infection soit toujours de passer par un document piégé reçu par email, d’autres méthodes gagnent malheureusement en popularité, telles que :
- Se faire passer pour le jeu Tetris :
- un groupe de piratage a utilisé une version open source du Tetris des années 90 pour cacher PyXie RAT et infecter les entreprises.
- Via Facebook :
- un RAT nommé FlawedAmmyy a infecté des cibles militaires. Les chercheurs ont découvert qu’une fausse page Facebook, axé sur la politique et l’armée, usurpait l’identité d’un officier militaire américano-libyen nommé Khalifa Haftar. Des URL ont également été jointes pour télécharger des fichiers en indiquant qu’il s’agissait de fuites provenant des unités de renseignement libyennes, et enfin, certaines URL ont été présentées comme des sites légitimes permettant aux citoyens de s’engager dans l’armée.
- L’utilisation d’une fausse invitation à une réunion WebEx.
Des RAT (Remote Access Trojan) utilisés à des fins diverses
Une fois installés, les pirates ont un contrôle à distance complet sur le système de la victime, dont ils peuvent abuser de plusieurs manières. Certains pirates l’utilisent pour collecter des renseignements sur des cibles militaires et diplomatiques ; d’autres peuvent obtenir des données personnelles, telles que les détails de paiement des clients d’un hôtel.
Conclusion
Les RAT sont efficaces, disponibles et très abordables, permettant ainsi de pirater facilement les réseaux, ce qui représente un véritable défi pour les entreprises qui doivent se protéger contre ce type de menace. Malheureusement, la plupart des mécanismes de prévention existants n’identifieront pas le RAT et n’empêcheront pas l’infection, car ces derniers savent comment ne pas être repérés. De même, la plupart des mécanismes de sécurité endpoint et les solutions de réseau/périmétriques n’aideront pas à identifier les RAT.
LogPoint peut identifier les schémas d’activité du RAT, à l’aide de règles de corrélation avancées et d’apprentissage automatique, et répondre automatiquement et mitiger les malwares de type « low and slow » avec LogPoint SOAR, en utilisant des playbooks préconfigurés. Cliquez ici pour en savoir plus sur LogPoint SIEM, UEBA, and SOAR.
