Attaques ciblées : 5 tendances pour 2016


Pour se développer et prospérer, les cyber-attaquants qui procèdent par Menaces Avancées Persistantes (APT ou Advanced Persistent Threats) avaient jusqu’à présent besoin du support des gouvernements ou d’autres organisations puissantes… Apparemment, ce n’est plus le cas aujourd’hui.

Actualités, Cybersécurité // 04/02/2016

Les APT se sont faits connaître du grand public en 2015, en grande partie à cause de la médiatisation du piratage de Sony Pictures Entertainment, révélé à la fin de l’année 2014.

La filiale de production et de distribution de Sony aurait perdu le contrôle de plus de 100 terabytes de données sans que l’entreprise, et la sécurité mise en place, n’aient pu détecter la faille.

Les Menaces Avancées Persistantes, comme leur nom l’indique, sont assez poussées et disposent des accès nécessaires pour permettre aux malware et exploits d’infiltrer les organisations, normalement protégées par les meilleures solutions au monde. Car depuis des années, ces attaques ont été utilisées à des fins obscures de cyber-espionnage.

Au cours des sept dernières années, les Dukes ont par exemple infiltré « les gouvernements occidentaux et les organisations affiliées, comme les Ministères et agences gouvernementales, les think tanks (laboratoires d’idées politiques) ou encore des sous-traitants liés aux gouvernements ». C’est ce que révélait le rapport F-Secure de 2015, faisant l’actualité internationale.

F-Secure a identifié le gouvernement russe comme étant l’un des piliers de ce groupe, preuves à l’appui. Parmi elles, un message d’erreur écrit en russe et une tendance à suivre les heures normales d’activités de Moscou.
« La croissance exponentielle du groupe des Dukes suggère qu’un flux constant de ressources a dû être déployé pour cibler une chaîne d’acteurs gouvernementaux : ambassades, parlements, ministère de la Défense », écrivait Artturi Lehtiö, chercheur pour le Laboratoire de F-Secure. « Mais à notre connaissance, le gouvernement russe n’a jamais été pris pour cible. »

Les attaques ciblées semblent être supportées par des états ou autres groupes puissants du fait de leur complexité et des investissements nécessaires pour soutenir ce type d’attaques. Mais il semblerait que les choses soient en train de changer…
Nous avons discuté avec Artturi des tendances pour 2016 concernant les APT : il nous les décrit comme étant généralisées, dynamiques mais aussi… bien plus trompeuses.

1) Plus d’attaques
« Selon moi, le nombre d’organisations non gouvernementales impliquées, et tout autant ciblées, ainsi que le nombre d’attaques vont augmenter de manière exponentielle ». D’après Artturi, c’est la conséquence inéluctable du développement rapide du « marché des attaques ciblées » qui comprend la vente au plus offrant de services criminels et d’outils de plus en plus banalisés.

2) Plus d’obscurcissement
« Dans le même temps, les états pourraient commencer à exploiter les malware conçus et utilisés par d’autres dans leurs propres intérêts. On a déjà vu des groupes affiliés à des gouvernements évoluer du côté des infrastructures pour qu’on ne retrouve pas leurs traces ; en empruntant ou en piratant l’infrastructure de quelqu’un d’autre, de sorte à mettre entre eux et leurs activités criminelles un écran de fumée. Bientôt ce sera également le cas du côté des outils : je pense que les groupes d’attaquants utiliseront les malware de tiers, qu’ils soient volés, achetés, réquisitionnés, de telle sorte qu’il sera beaucoup plus compliqué de les attaquer en retour, juste parce qu’ils auront choisi les « bons outils ».

Nous avons déjà eu le cas avec le toolkit Black Energy qui a été utilisé par de nombreux groupes criminels avant d’être utilisé pour des attaques politiques contre l’Ukraine ou encore avec le groupe Sofacy qui « recycle » des malware de la famille des Carberp ou Metasploit. »

3) Plus de falsification
Au-delà de la banalisation de ces outils créant des chaînes de pouvoir et des structures de commandement vastes et informels, Artturi s’attend à une industrialisation de ces manœuvres d’obscurcissement pour induire en erreur les autorités et les pousser à suspecter les mauvaises personnes, voire les mauvais pays, dans le cas d’attaques ciblées. « Encore une fois nous avons connu des cas similaires par le passé mais je m’attends à ce que le fait de brouiller les pistes en semant de faux indices dans les malware se généralise. »

4) Plus d’attaquants
« De même, les hacktivistes préféreront de plus en plus des attaques ciblées au détriment d’attaques opportunistes que nous connaissons bien grâce à l’accès à des outils APT clés en main. » Artturi pense que les groupes engagés politiquement vont troquer les attaques par déni de service, qui rend un site ou un réseau hors d’usage temporairement, pour des attaques beaucoup plus dommageables pour les cibles.

5) Plus de dommages
« Enfin, que ce soient des états, des criminels ou des hacktivistes, tous vont se tourner vers des attaques ciblées destructrices : certaines auront pour but de mettre à mal l’intégrité des données visées en les modifiant ou en les corrompant ou pire d’autres les effaceront ou les chiffreront de sorte à ce qu’on ne puisse plus les utiliser. »

Etre trop prévisible peut conduire le cybercriminel en prison ou du moins l’arrêter. Les nouvelles formes de menaces, toujours plus surprenantes, sont donc plus que jamais à l’ordre du jour.
La maturité des « places de marché » pour les APT a fortement contribué à créer un environnement où la question n’est plus de savoir combien d’entreprises se sont faites hacker, mais à quel point ont-elles été hackées ?

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s