Attaques d’états-nations : toutes les entreprises peuvent être concernées
Lors d'InfoSecurity 2018, l'ex responsable du renseignement numérique britannique a estimé cette semaine, que le temps où les cyberattaques particulièrement ciblées et sophistiquées, ne concernaient que des profils sensibles, était révolu.
Selon Robert Hannigan, ancien directeur du GCHQ (services de renseignements électroniques britanniques), aujourd'hui président exécutif et responsable mondial de la stratégie de BlueVoyant Europe (prestataire mondial de services de cybersécurité), les attaques informatiques conduites par des états-nations ne constituent plus seulement une menace sur quelques-uns : toutes les organisations sont directement, ou indirectement concernées.
Lors d’une intervention, en juin, à l’occasion d’Infosecurity Europe 2018, Robert Hannigan a ainsi expliqué que l’on « observe un croisement entre états-nations et groupes de cyber-délinquants travaillant pour eux, avec parfois certains membres de ces groupes conduisant des activités pour un état-nation le jour, et d’autres, relevant plus de la cyber-délinquance, la nuit ».
Et cela semble d’autant plus aisé que « la plupart des attaques informatiques, jusqu’aux plus sophistiquées d’entre elles, exploitent les mêmes choses, à commencer par une gestion inappropriée des vulnérabilités, de mauvaises pratiques de configuration réseau ou encore de gestion des mots de passe ». Et Robert Hannigan d’estimer, dès lors, que « 80 % à 90 % des attaques peuvent être prévenues ou contenues, simplement en appliquant rigoureusement des règles de base ».
La Russie ? Des champions de la cyberattaque
S’inscrivant sur la même ligne que les Etats-Unis, l’ancien directeur général du GCHQ, estime que les principaux états conduisant des activités informatiques malicieuses sont la Corée du Nord, l’Iran et la Russie. La première se concentrerait ainsi sur le vol de devises, tandis que le second serait « doué pour calibrer les cyber-attaques pour qu’elles produisent des effets importants ».
Selon Robert Hannigan, la troisième, la Russie, tient le haut du pavé, « et nous avons été entraînés dans un cyber-conflit contre eux depuis un moment ». Il lui attribue ouvertement la responsabilité d’attaques sur la distribution électrique en Ukraine. Le ministère britannique des Affaires étrangères a également récemment condamné la Russie pour la diffusion du maliciel NotPetya l’an dernier.
S’il le fallait, ce dernier a montré, par l’ampleur de sa diffusion, que la menace ne concerne pas seulement ceux que l’on nomme, notamment en France, opérateurs d’importance vitale (OIV) ou de services essentiels (OSE).
Et c’est en outre sans compter avec les attaques visant la chaîne logistique - du logiciel, notamment, mais pas uniquement. Récemment, l'ESN d'origine sud africaine Dimension Data donnait l'alerte : « la chaîne logistique des entreprises et des services professionnels est clairement devenue une cible privilégiée pour le vol de secrets de fabrication et de propriété intellectuelle ».
Des groupes spécialisés qui évoluent peu à peu
Mais il y a plus, et le groupe Sofacy, aussi connu comme APT28, Fancy Bear, Sednit, ou encore Pawn Storm, soupçonné de longue date de liens étroit avec le Kremlin, pourrait en constituer la plus claire illustration.
Ainsi, dans un billet de blog, des chercheurs de l’unité 42 de Palo Alto Networks se sont penchés sur une campagne toute récente s’appuyant sur l’outil Zebrocy, attribué au groupe Sofacy : celle-ci ne semble pas suivre les schémas classiques des opérations du groupe, connu pour viser notamment des organisations diplomatiques, gouvernementale, diplomatiques, et plus généralement stratégiques, principalement en Europe et en Amérique du Nord.
Cette fois-ci, « les attaques utilisant Zebrocy déploient un filet bien plus large au sein des organisations visées : les attaquants envoient des messages de phishing à un nombre de personnes en croissance exponentielle ». Qui plus est, « les individus visés [par ces tentatives de hameçonnage] ne suivent pas de motif significatif, et leurs adresses e-mails ont été trouvées facilement en utilisant des moteurs de recherche pour le Web ».
Et les chercheurs de conclure que cette approche « contraste fortement avec les autres attaques généralement associées au groupe Sofacy, où il n’y a généralement qu’une poignée de personnes visées au sein d’un même organisation ».
S’il ne semble pas être question, pour le groupe, de se détourner de ses cibles traditionnelles, il apparaît avoir diversifié ses zones géographiques d’intérêt. Début mars, Kaspersky assurait ainsi que Fancy Bear vise des « entreprises du secteur de l’aérien et de la défense » en Chine, mais déploie également Zebrocy en Arménie, en Turquie, au Kazakhstan, au Tajikistan, en Afghanistan, en Mongolie ou encore au Japon.
En outre, il convient de ne pas voir APT28 comme un groupe monolithique, mais plutôt comme une organisation qui « maintient de multiples sous-groupes et efforts qui rentre tous sous l’étiquette Sofacy ».
Des menaces de masse
Mais cela ne s’arrête pas là. En 2013, l’agence américaine du renseignement, la NSA, était soupçonnée d’avoir réussi à compromettre quelques dizaines de milliers de réseaux à travers le monde. C’était à nouveau le cas trois ans plus tard, à la suite des révélations du groupe Shadow Brokers. Cette fois-ci, les accusations reposaient sur des codes d’exploitation de vulnérabilités dans des équipements d’infrastructure clés, à commencer par les produits Cisco ASA et les pare-feu Cisco PIX. Le Cert-US alertait alors sur l’importance du contrôle de la chaîne logistique, qu’elle soit logicielle ou matérielle.
Récemment, le FBI, le ministère américain de l’Intérieur (DHS) et le centre de sécurité informatique du GCHQ, ont mis en garde, accusant la Russie de viser des équipements réseau pour conduire des opérations d’espionnage, de vol de propriété intellectuelle, maintenir un accès persistant dans des réseaux, ou encore préparer des actions offensives ultérieures.
Là, il est difficile de ne pas faire un parallèle avec VPNFilter qui s’attaque, sans trop de discernement, depuis plusieurs semaines, à des routeurs et autres équipements réseau signés Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, Qnap, TP-Link, Ubiquiti ou encore ZTE.
Le doute continue de planer sur les acteurs qui sont à la manœuvre dans cette campagne, mais des soupçons commencent à peser sur certains groupes liés à la Russie. Les équipes de Talos, chez Cisco, ont ainsi relevé les similarités entre VPNFilter et le code utilisé pour BlackEnergy. De quoi renvoyer au groupe Sandworm, soupçonné d’être notamment à l’origine du maliciel Industroyer, et d’être lié au Kremlin.
Avec nos confrères de ComputerWeekly (groupe TechTarget).