Vous êtes sur le site public du Cert-IST
Les attaques de phishing visant les comptes Offices 365 des entreprises.

Date :07 Septembre 2020

Publication: Article

Les attaques de phishing sont une part importante de la menace actuelle. Dans le cas d’un phishing bancaire, d’un site marchand (Amazon) ou du vol d’un compte Google on comprend bien les motivations de l’attaquant (respectivement) :  le vol d’argent, des achats frauduleux, et la prise de contrôle du compte d’une personne. Il existe aussi depuis plusieurs années des campagnes de phishing visant spécifiquement les comptes mails professionnels et en particulier les comptes Office 365. Dans cette article nous allons nous intéresser à cette catégorie de phishing en nous appuyant sur des cas que nous avons analysés et sur les études publiés sur ce sujet.

Mode opératoire

Les campagnes d’attaques que nous avons analysées avaient le mode opératoire suivant:

  • Un mail semblant venir d’un collègue invite la victime à cliquer sur un lien afin de prendre connaissance d'un message.
  • Le lien dirige la victime vers un site de phishing qui imite le login Office 365 officiel de l’entreprise.
  • Si la victime saisit ses informations de connexion, le pirate les utilise pour se connecter sur le compte mail et envoie de nouveaux mails de phishing en faisant un « Reply all » sur des mails réels présents dans la boite à lettre de la victime.

Il s’agit donc d’une attaque en chaine, qui se propage en grande partie au sein de l’entreprise (on parle souvent de « phishing latéral »). Elle finit par être détectée et bloquée par l’entreprise (en bloquant les noms de domaines hébergeant le phishing). Il est par contre souvent difficile d’identifier les victimes (pour leur demander de changer de mot de passe) et on peut imaginer que le résultat pour l’attaquant est l’obtention d’ une série de logins et mots de passe valides. A quoi cette moisson peut-elle servir ?

 

Des attaques très professionnelles

Tout d’abord, sur les cas que nous avons vus, nous avons noté que l’attaque était faite de façon très professionnelle.

Les mails et des sites web sont polymorphes : Le corps du mail varie d’un mail à l’autre avec des substitutions de textes équivalents. Par exemple, la phrase « Click here to show this message» peut devenir « Click here to view this message» ou « Click here to view full message ». Cela rend le mail difficile à détecter. On reconnait ici une technique classique de Spam. De même, le site web de phishing vers lequel est envoyée la victime est polymorphe dans la mesure où il s’adapte au visiteur en lui présentant le logo de son entreprise. Le même site de phishing accueille des visiteurs d’entreprises différentes (l’adresse mail de la victime étant passée en paramètre). Nous n’avons jusqu’à présent jamais eu accès à un serveur hébergeant ce type de phishing : il aurait été intéressant de voir par exemple combien de logos différents étaient disponibles, ce qui aurait montré l’ampleur de la campagne d’attaques.

Nota : Cet article de Rapid7.com montre un exemple d’un phishing Office 365 visant un ensemble d’entreprises  pour lequel la page de login est personnalisée avec le logo et le fond d’écran défini par l’entreprise.

Nota : Cet article de IronScales.com indique que désormais 42% des attaques de phishing sont polymorphiques.

 

Le code des pages de phishing est bien plus sophistiqué qu’un kit de phishing ordinaire. Un kit de phishing ordinaire (tels que les kits de phishing vendus sur le dark-web, et présentés par exemple dans cette video BrightTalk, ou cette analyse de l’ISC SANS) est en général une série de fichiers PHP (ou ASPX) très simples qui enchainent les étapes de :

  • Filtrage des visiteurs (pour écarter des robots ou des spécialistes anti-phishing),
  • Collecte du login et mot de passe de la victime et envoi de ces informations vers une adresse Gmail, Yandex (populaire en Russie) ou Protonmail,
  • Envoi d’un message « login invalide » au visiteur.

Les phishing Office 365 que nous avons analysés sont beaucoup plus complexes :

  • Ils sont protégés par des techniques d’obfuscation, avec plusieurs couches d’encodage visant à les rendre illisibles. Nous avons vu des cas où l’outil https://obfuscator.io/  (très sophisqué) avait été utilisé. Il y a aussi des cas où nous n’avons pas réussi à franchir cette étape d’obfuscation.
  • Ils sont entièrement en JavaScript. Plutôt que plusieurs pages PHP, une seule page HTML charge en mémoire le code JavaScript qui génère toute la logique de la transaction de phishing.

 

Ils sont de plus en plus souvent hébergés sur des services Cloud légitimes. En mai 2020 par exemple, nous avons vu ce type de phishing hébergé sur des sites du Cloud Google FirebaseStorage et Storage.googleapis.com, (voir cet article Trustwave qui décrit un phénomène similaire). Il est aussi classique de trouver ce type de phishing sur des sites Microsoft (voir cet article de Rapid7.com, déjà mentionné ci-dessus, qui analyse des phishing hébergés sur des serveurs du cloud Microsoft blob.core.windows.net and azurewebsites.net) . Ce type d’hébergement permet de bénéficier de la réputation de Google ou Microsoft (sites non bloqués par les solutions de filtrage de domaines web), et aussi de configurations sécurisées (certificats authentique Google ou Microsoft, protocole HSTS –HTTP Strict Transport Security- etc.)

 

Ils utilisent parfois des techniques d’attaque avancées comme le phishing OAUTH. Nous n’avons pas vu d’attaque de ce type sur les phishing Office 365 que nous avons analysés, mais cette technique gagne en popularité. Elle consiste, plutôt que de demander son login et son mot de passe à la victime, à lui présenter une fenêtre OAUTH lui demandant  d’autoriser une Apps à accéder à son compte Office 365. Cette technique a été vue la première fois en 2015 (voir cet article Trend Micro sur Pawn Storm). Il existe des toolkits open-source implémentant ces attaques (PwnAuth de FireEye depuis juin 2019, et O365-attack de  MDsec.co.uk depuis juin 2020). Elle a été utilisée en juin 2020 dans les attaques APT ayant visé l’Australie. Et Proofpoint indique fin septembre 2020 que le groupe TA2552 l’utilise dans ses attaques de phishing.

 

Quelles sont les motivations ?

Pour connaitre les motivations des attaques visant Office 365, nous avons recherché sur Internet des articles traitant de ce sujet.

Sur le sujet général du phishing (hors Office 365), on trouve de nombreux articles expliquant que la revente de comptes volés par phishing est un marché lucratif. Par exemple cet article de Brian Krebs de décembre 2017 montre le cas d’un cybercriminel ayant  vendu 35 000 comptes en 7 mois pour un total de 288 000 dollars (soit un prix moyen de 8 dollars par compte). Il s’agit là de comptes donnant accès à des sites marchands, des sites bancaires ou de sites personnels (Google, Twitter, etc…) dont on comprend bien la valeur marchande.

De même, toujours pour les attaques hors Office 365, nous avons trouvé cette étude originale de l’université de San Diego qui a contacté en 2018, 27 services proposant le piratage de compte mails sur commande (service de « Hackers for hire »). Seuls 5 de ces services ont finalement réalisé des attaques (1 en utilisant un malware, les 4 autres par phishing) et 3 ont réussi leur mission. Le compte visé était un compte mail Google protégé par une authentification 2-facteurs par SMS. Le prix de la prestation variait de 100 à 400 dollars. En observant les techniques utilisées par les attaquants, Google a estimé que 372 comptes Google avaient été attaqués de cette façon en 7 mois. L’étude conclut que le « hack à la demande » d’un compte gmail est un marché de niche. Il impacte de l’ordre de 1 compte sur 1 million de comptes Google, alors que par exemple les attaques de phishing aveugles (au moyen de kits de phishing vendu « sur étagère ») impactent 12 millions d’utilisateurs par an.

 

Pour ce qui du phishing visant Office 365, un nombre significatif d’articles confirment qu’il s’agit d’une cible de choix pour les attaquants. Par exemple cet article de VadeSecure (spécialiste de la lutte contre le phishing) confirme ce fait et présente les différents prétextes utilisés dans les phishings Office 365 : Voice message, Action required, Shared file attack. Cependant, peu d’études s’intéressent aux motivations des attaquants.

Cet article de Barracuda.com de mai 2019 indique que les motivations principales des attaquants sont les suivantes :

  • Réalisation d’arnaques au président (attaques BEC – Business Email Compromises). L’attaquant cherche à prendre le contrôle de mails de membres importants de la société ou des services financiers de façon à réaliser une escroquerie de type « Faux Ordre de Virement » (FOVI).
  • Surveillance des échanges (mise en place de règles de redirections mail) de façon à être au courant des discussions en cours pour pouvoir réaliser des arnaques opportunistes. Cela peut correspondre à de l’observation passive (récolte d’informations), mais aussi à de l’insertion active dans des conversations en cours.

L’étude de Barracuda est essentiellement orientée vers les escroqueries financières (détournement d’argent) et n’aborde pas les attaques de cyber-espionnage. Mais il est clair que la compromission d’un compte email est souvent suffisante pour récupérer des informations stratégiques telles que celles recherchées par les pirates qui réalisent des attaques APT. De même, le vol d’un mot de passe mail peut parfois permettre d’avoir accès à d’autres infrastructures (cas où le même mot de passe est utilisé pour plusieurs usages).

 

Une seconde étude, publiée en juillet 2020  par l’université de Berkeley, et réalisée conjointement avec Barracuda.com (qui en fournit une synthèse), analyse plus systématiquement ce que font les attaquants avec les comptes mails volés aux entreprises. Cette étude a analysé 159 comptes Office 365 compromis (extrait d’un jeu plus large de 989 compromissions survenues fin  2019). Il en ressort plusieurs points très intéressants :

  • Les comptes volés ne proviennent pas uniquement d’attaques de phishing. Par exemple, 20% des comptes observés lors de l’étude utilisaient des mots de passe déjà diffusés sur Internet (provenant de fuites de données précédentes).
  • 37% des comptes semblent être attaqués pour être ensuite revendus et utilisés par d’autres attaquants, alors que 50% des comptes sont attaqués et utilisés par un seul et même attaquant. Pour les 23% restants, l’étude n’a pas pu déterminer si le compte a été revendu ou utilisé tout de suite.
  • Pour la première catégorie (comptes revendus) la compromission dure plus d’une semaine, ce qui est logique puisque cela inclut le temps de la revente. Pour la seconde catégorie la compromission dure le plus souvent moins de 24 heures : l’attaquant sait ce qu’il veut faire et le fait tout de suite.
  • Le phishing et le spam sont cités dans le rapport Berkeley comme des exemples d’actions malveillantes réalisées à partir d’un compte volé, mais la synthèse de Barracuda indique que cela concerne une faible proportion de comptes (7% seulement des comptes ont été utilisés pour envoyer du phishing). Barracuda indique que les autres attaques pourraient être du vol d’informations pour réaliser des arnaques financières telles que celles que Barracuda cite dans son rapport de mai 2019
  • 78% des attaquants s’intéressent uniquement aux mails et n’accèdent pas aux autres applications disponibles dans Office 365. Lorsqu’ils s’intéressent à ces autres applications, SharePoint est l’application la plus regardée par les pirates (17% des cas).

 

Pour ce qui est du vol et de la revente de comptes mails professionnels, cet article (peu argumenté) de Bullguard.com indique que :

  • il y a une offre importante pour le « hack à la demande ». Cette affirmation est à modérer avec l’étude de l’université de San Diego (mentionnée précédemment) qui considère qu’il s’agit d’un marché de niche.
  • Il existe aussi une demande pour acheter des comptes mails d’entreprise, en particulier pour des mails associés aux services comptables (mais un seul exemple est donné).

 

Conclusions

Depuis 2018 au moins, nous observons des campagnes de phishing très professionnelles visant à voler des comptes mails d’utilisateurs Office 365. En extrapolant les données des études que nous avons trouvées nous pouvons émettre les hypothèses suivantes :

  • Près de 40% des comptes volés sont revendus,
  • L’objectif principal est de réaliser des arnaques financières (attaques BEC),
L’utilisation de ces comptes volés pour du cyber-espionnage (ou d’autres actions à visées stratégiques ou politiques) est bien sûr possible ; on peut prendre comme exemple le piratage des comptes mails du parti démocratique américain en 2016, mais il n’y a pas d’étude quantifiant l’ampleur de ce phénomène. Il reste pour le moment un phénomène souterrain.