Après plusieurs années au cours desquelles la cybercriminalité « commerciale » s’est taillée la part du lion sur le marché de l’eCrime, le millésime 2021 a été marqué par la résurgence des intrusions parrainées par des États et qui ont pour vocation de perturber des ennemis politiques, voire de générer des devises pour soutenir différents régimes. La compréhension de ces évènements permet de mesurer la dynamique mouvante des tactiques adverses et fournit aux équipes de cybersécurité des informations cruciales à propos d’un environnement de plus en plus inquiétant. Dans la dernière édition en date de son étude annuelle Global Threat Report, CrowdStrike propose un état des lieux de la cybersécurité à l’issue de l’année 2021, dont voici les principaux enseignements.
La montée en puissance de la Russie
Les cyberattaques appuyées par la Russie dominent le cyberespace depuis déjà un certain temps. Divers groupes inféodés à Moscou utilisent en effet la cyberguerre comme tactique de déstabilisation, mais aussi pour subtiliser des informations à leurs ennemis politiques. En 2015 par exemple, le groupe VOODOO BEAR a lancé une offensive contre l’infrastructure électrique de l’Ukraine, privant plus de 200 000 citoyens de chauffage et d’éclairage. Les auteurs de menaces à la solde de la Russie ont longtemps utilisé le harponnage (spear-phishing), une technique qui utilise le courrier électronique pour envoyer des documents infectés ou des liens pointant vers des infrastructures malveillantes.
Selon de récentes informations, ces groupes semblent avoir changé leur fusil d’épaule et privilégient désormais la collecte d’identifiants, employant des techniques de balayage de grande envergure ou créant des sites de phishing adaptés à leurs cibles. L’objectif fondamental de ces attaquants demeure la collecte d’identifiants en vue de recueillir des informations et de disposer d’un accès initial aux entreprises ou aux personnes visées. Autre technique récemment déployée par les cybercriminels russes, le vol de cookies d’authentification permet de contourner les obstacles que représentent les outils d’authentification multifactorielle (MFA) mis en place pour défendre l’accès aux réseaux. Cette technique utilise l’accès au réseau local pour prendre le contrôle de comptes à privilèges et s’approprier les services cloud des victimes.
L’offensive chinoise
Pendant des années, les groupes chinois ont développé et déployé des exploits pour mener à bien leurs opérations d’intrusion ciblées. En 2021, les observateurs ont toutefois constaté un changement de méthode significatif. Ainsi, après avoir longtemps utilisé des techniques standard nécessitant une interaction avec l’utilisateur telle que l’ouverture de documents malveillants, les groupes d’obédience chinoise ont sensiblement recentré leur approche sur les vulnérabilités des appareils ou des services en interaction directe avec Internet. De récentes informations révèlent ainsi que les cybercriminels affiliés à Pékin ont accordé une attention particulière à un ensemble de vulnérabilités de Microsoft Exchange.
Ils ont ainsi utilisé ces dernières pour tenter de s’introduire dans une multitude d’entreprises aux quatre coins du monde. Ce qui n’empêche pas les hackers chinois de continuer d’exploiter les produits de connexion à Internet — VPN, routeurs, et autres logiciels hébergés sur des serveurs connectés au Web —, que ce soit pour disposer d’un accès initial ou prendre le contrôle d’une infrastructure. Cette activité démontre, si besoin était, la vivacité de cette communauté de hackers.
L’Iran renforce ses cyber-tactiques
Les ransomwares sont aujourd’hui l’une des principales menaces pour la sécurité des entreprises. Depuis la fin de l’année 2020, plusieurs groupes à la solde de l’État iranien ont adopté cette technique et lancé des opérations de type « lock-and-leak » contre de multiples entreprises situées aux États-Unis, en Israël, au Moyen-Orient et en Afrique du Nord. Les hackers utilisent un ransomware pour « verrouiller » les réseaux convoités avant de « fuiter » les informations des victimes. Les données sont alors diffusées sur des sites dédiés, les réseaux sociaux et diverses plateformes de discussion instantanée, ce qui permet d’amplifier les fuites de données et de mener plusieurs opérations contre les pays ciblés. Le recours à ce type d’opérations de haut vol, ainsi qu’à des ransomwares plus discrets mais tout aussi envahissants, apporte à Téhéran la possibilité de déstabiliser avec efficacité ses rivaux dans la région et au-delà. Compte tenu du succès rencontré par ces initiatives, il y a fort à parier que l’Iran continuera à faire usage de ransomwares dans les mois à venir…
Cryptojacking : la Corée du Nord se spécialise
La République populaire démocratique de Corée (RPDC) demeure l’un des territoires les plus actifs au sein de l’écosystème cybercriminel. Des enquêtes récentes ont en effet révélé que la Corée du Nord s’est tournée vers des entités liées aux cryptomonnaies pour préserver ses sources de revenus dans un contexte économique rendu difficile par la pandémie de COVID et diverses sanctions. L’une des méthodes liées aux cryptomonnaies est connue sous le nom de cryptojacking, une opération qui consiste à miner des cryptomonnaies du type bitcoin en utilisant des ressources informatiques à l’insu de leur propriétaire, qu’il s’agisse d’un utilisateur individuel ou d’une entreprise.
Les programmes de cryptojacking peuvent prendre la forme de logiciels malveillants installés sur un ordinateur infecté par une attaque de phishing, d’un site Web infecté, ou d’autres méthodes propres aux attaques par malwares. Le cryptojacking est une arme particulièrement efficace, car le minage de cryptomonnaies est une activité gourmande en électricité comme en puissance de calcul. Par conséquent, les groupes de menaces qui exécutent en secret ce type d’opérations malveillantes sur des systèmes qui ne leur appartiennent pas récoltent le fruit de leurs méfaits sans la moindre dépense.
De nouveaux états dans le paysage des cyberattaques
Cette année, les services de renseignement ont identifié des ennemis parrainés par deux nouveaux états, la Turquie et la Colombie. L’irruption de ces nouveaux adversaires met en lumière l’augmentation des capacités d’attaque de gouvernements qui n’étaient jusqu’alors pas associés aux cyberopérations, confirmant au passage que les entreprises doivent faire preuve d’une vigilance de tous les instants. En avril 2021, des experts en cybersécurité ont détecté en Turquie des groupes qui avaient pris pour cible des données stockées dans le service cloud Amazon Web Services (AWS) après avoir réussi à l’infecter au moyen d’un identifiant volé.
On le voit, les adversaires, chevronnés ou débutants, imaginent en permanence des solutions originales pour contourner les mesures de sécurité mises en place et compromettre des structures informatiques. C’est pourquoi les entreprises doivent suivre et s’informer en permanence de l’évolution de ces menaces et déployer des solutions de cybersécurité adaptées en mesure de les protéger efficacement contre les attaques connues et à venir.
Cet article a été écrit par Zeki Turedi, directeur technique EMEA chez CrowdStrike.