[ad_1]
Qui attaque qui ? Quand et avec quelle technique ? Quelles sont les motivations des cyber-attaquants ? Quatre questions cruciales mais extrêmement compliquées dans le monde du cyberespace auxquelles Thales et Verint ont tenté de répondre en analysant 490 campagnes d’attaques dans le monde entier. Au terme d’un an d’enquête et de plusieurs milliers d’heures d’analyses, les équipes d’analystes des deux leaders de la cybersécurité ont dégagé les profils détaillés de 66 de groupes de cyber-attaquants majeurs de haut niveau. Les analystes ont défini quatre grandes familles d’attaquants à partir de leurs motivations et de leur objectif final.
« Des scénarios de ‘cyber-Pearl Harbor’ portant sur les villes intelligentes de demain et sur leurs infrastructures clés par exemple sont tout à fait possibles », estime Thales.
Près de la moitié des groupes parrainés par les Etats
Sur la soixantaine de groupes d’attaquants majeurs analysés, 49% des groupes d’attaquants sont parrainés par des Etats, qui « se concentrent souvent sur du vol de données sensibles de cibles géopolitiques », constate Thales. Des attaques ayant pour motivation le cyber-espionnage, la déstabilisation politique et le sabotage. Les cibles, le secteur de la défense et les gouvernements. Cette proportion importante s’explique « en grande partie par les importantes ressources financières et humaines dont disposent ces attaquants ».
Les cyberactivistes (26%) poursuivent, quant à eux, des motivations idéologiques en portant atteinte à l’image de leurs cibles (gouvernement, éducation). S’agissant des cybercriminels (20%), l’appât du gain les pousse à cibler principalement le secteur de la finance et du commerce. Enfin, les cyberterroristes, qui représentent 5% des groupes analysés mènent le plus souvent des actions de propagande pour recruter de nouveaux adeptes ou pour détruire les données de leurs victimes.
Qui est attaqué ?
La quasi-totalité des pays du monde est visée. Mais selon Thales, deux tendances se dégagent : « toutes les grandes puissances économiques, politiques et militaires mondiales sont particulièrement visées par des attaques », observe l’électronicien. Ainsi, les douze pays au PIB le plus élevés figurent tous parmi les Etats les plus visés, au premiers rang desquels les Etats-Unis, la Russie, l’Union Européenne (en particulier le Royaume-Uni, la France et l’Allemagne), la Chine, puis l’Inde, la Corée du Sud et le Japon, qui sont les zones géographiques mondiales les plus ciblées par les cyber-attaquants. Au-delà, le classement des pays les plus attaqués est également le reflet de tensions géopolitiques ou économiques régionales, en particulier sur quatre zones spécifiques : Corée du Nord et Corée du Sud ; Europe de l’Est (Ukraine, Pologne) et Turquie ; Asie du Sud-Est ; Proche-Orient et Moyen-Orient, dont notamment l’Iran, Israël ou l’Arabie Saoudite.
« Il n’est pas étonnant de constater que les adversaires qui disposent du plus de moyens, techniques, financiers ou humains, ont pour cible principale les Etats, leurs capacités de défense et l’ensemble des grands acteurs intervenants dans ce secteur. Ces attaquants, pour la plupart eux-mêmes sponsorisés par des Etats, mènent des attaques ciblées, visant très précisément un Etat ou une entreprise importante à sa souveraineté », précise Thales, qui a répertorié 56 groupes d’attaquants et 238 campagnes.
Après les Etats, la finance est le deuxième domaine le plus touché par les cyber-attaquants (35 groupes), « essentiellement attirés par l’appât du gain », note Thales. Par conséquent, leurs offensives sont globales et visent l’ensemble des acteurs du système financier (187 campagnes) à l’échelle mondiale : « 137 zones géographiques différentes ont ainsi été ciblées par les groupes d’attaquants intervenus dans ce secteur », a répertorié le groupe d’électronique . L’énergie fait également l’objet de nombreuses attaques (50) : 24 attaquants ont touché 106 pays, plus de 230 familles de malwares ont été répertoriées pour ce seul secteur. « Cela s’explique probablement par le nombre croissant d’atteintes aux systèmes SCADA ou proto-IoT, que visent également des attaques toujours plus nombreuses dans les transports », explique Thales.
Enfin, Thales attire l’attention sur les vulnérabilités de la supply chain, une cyber-menace également identifiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les groupes d’attaquants tentent de contourner les solutions de cyber-protection mises en place par les entreprises, les organisations et les administrations, en se concentrant désormais sur les failles des prestataires, partenaires et fournisseurs. Souvent de plus petite taille, ces PME ou ETI n’ont pas accès à toutes les ressources humaines et financières pour investir significativement dans la protection de leurs cyberespaces. Utilisés comme de véritables Chevaux de Troie, ils constituent aujourd’hui une véritable cible pour les hackers, qui les utilisent comme porte d’entrée vers de plus gros fournisseurs.
Quelles attaques ?
Malgré de nombreuses campagnes de sensibilisation, la technique du phishing (le hameçonnage) reste encore largement employée par les cyber-attaquants, en particulier dans des versions sophistiquées (spear phishing), via des mails qui visent spécifiquement des personnes ciblées, selon Thales. Ces attaques revêtent un haut caractère de personnalisation, l’attaquant s’étant préalablement renseigné sur la personne visée pour tirer la maximum d’informations personnelles la concernant, afin qu’elle n’identifie pas le message reçu comme un spam. Thales mentionne également parmi les techniques d’attaques les plus utilisées, celle de « l’obfuscation », qui a pour but de rendre très difficilement compréhensible certains programmes ou codes malveillants, que les pirates utilisent comme méthode de dissimulation, en encore le « credential dumping », grâce auquel l’attaquant récupère divers moyens d’authentification (mots de passe, données biométriques, etc.) pour pénétrer un système.
Thales constate par ailleurs un changement dans les types de malwares utilisés. Les attaquants se concentrent sur l’utilisation de certains types de malware, comme les malwares visant les objets connectés, les ransomwares ou rançongiciels qui cryptent les données en échange d’une rançon. En outre, l’apparition d’un « supermarché du malware » permet aux cyberpirates d’acheter et d’utiliser des logiciels malveillants développés par d’autres groupes d’attaquants, qui s’en font une spécialité. De plus en plus utilisée, cette pratique permet un gain de temps considérable pour les groupes qui n’ont plus à développer leur malwares. Ce qui rend la tâche des analystes plus complexe puisque les groupes d’attaquants ne se caractérisent plus nécessairement par le malware utilisé.
Des cyber-attaquants de haut niveau
Des groupes d’attaquant font preuve d’une sophistication extrême, comme le groupe ATK91 (Xenotime, Triton, TEMP.Veles), capable d’infiltrer et de manipuler, avec son logiciel malveillant, Triton, des infrastructures critiques et des systèmes de sécurité et de contrôle dans l’industrie. C’est également le cas du groupe russophone ATK13 (Turla, Uroburos, Waterbug, Venomous Bear) qui est un acteur malveillant de cyberespionnage actif depuis au moins 2008, date à laquelle il s’est introduit dans le système du Département de la Défense américain. ATK13 est perçu comme étant une organisation soutenue par l’État russe. En 2015, Kaspersky a décrit ATK13 comme l’un des groupes d’élite APT ayant utilisé de liaisons par satellite pour gérer leurs opérations. C’est enfin le cas de Lazarus, qui représente le Bureau 121, l’un des huit Bureaux associés au Bureau général de reconnaissance (RGB) de Corée du Nord. Le Bureau 121 est le principal bureau chargé des cyber-opérations.
Le groupe cybercriminel FIN7, qui est actif depuis au moins 2013, cible principalement les secteurs du commerce de détail, de l’hôtellerie et de la restauration, principalement aux États-Unis. Son objectif principal est de voler les actifs financiers des entreprises, comme les cartes de débit, ou d’avoir accès aux données financières ou aux ordinateurs des employés du département des finances afin d’effectuer des virements sur des comptes offshore. Le groupe utilise souvent l’hameçonnage comme principal vecteur d’attaque, y compris des campagnes de spear phishing conçues sur mesure. En outre, le groupe a utilisé une société écran surnommée « Combi Security », prétendument basée en Russie et en Israël, pour donner une apparence de légitimité et recruter des pirates pour rejoindre l’entreprise criminelle.
Parmi les Hacktivistes, Anonymous Italia, apparu en 2012, est l’un des plus anciens groupes du paysage italien de la cybermenace. Le groupe est caractérisé par une idéologie anarchiste, avec un sens aigu de la justice sociale et des questions environnementales. Cette aversion pour les institutions politiques et les forces de sécurité italiennes se traduit par des attaques récurrentes contre la police, les partis politiques et les institutions gouvernementales. Tout au long de sa longue activité, le groupe a exécuté des centaines de fuites de données, de défigurations de sites et d’attaques DDoS. Son attaque de 2015 contre le ministère de la Défense (avec des milliers de fuites) a également conduit à l’arrestation de deux membres éminents du collectif, connus sous les pseudos Aken et Otherwise.
Apparu en avril 2016, United Cyber Caliphate (UCC) ou Division de piratage de l’État islamique est le nom d’un regroupement de plusieurs groupes de pirates informatiques travaillant pour l’organisation terroriste de l’État islamique d’Irak et du Levant (EI). Ce groupe est surtout connu pour sa campagne contre le personnel militaire et gouvernemental américain. L’attaque cyberterroriste la plus importante s’est produite en janvier 2015 lorsque les comptes Twitter et YouTube du U.S. Central Command et plus tard les comptes Twitter du magazine Newsweek ont été piratés.
[ad_2]
Copyright Source link
