grandeduc - Fotolia
Cybermenaces : des attaquants tels des mouches sur un pot de miel
Les experts de la réponse à incident sont unanimes. Les opérations d’états-nations sont désormais si courantes que l’on trouve régulièrement des attaquants de plusieurs d’entre eux actifs chez la même victime.
Les menaces venant d’états-nations sont si répandues qu’il n’est plus rare que les spécialistes de la réponse à incident trouvent des signes d'acteurs attribuables de plusieurs pays cachés dans le réseau de la même victime. Trois acteurs majeurs du domaines – IBM X-Force, FireEye et CrowdStrike – ont témoigné de développements troublants sur les menaces émanant d’états-nations lors d'une table ronde organisée à l’occasion de RSA Conference, cette semaine à San Francisco.
Wendi Whitmore, responsable d'IBM X-Force Incident Response and Intelligence Services, note ainsi une convergence entre groupes de menace avancée persistante (APT) des états-nations, tant au niveau des outils utilisés que des cibles choisies : « il est assez courant aujourd’hui d’intervenir pour une organisation où l’on verra trois ou quatre acteurs d'états-nations présents. Ils peuvent avoir des objectifs différents, mais opérer au même endroit et viser des types de données similaires ».
Thomas Etheridge, vice-président de CrowdStrike en charge des services, observe le même phénomène, sur des secteurs d’activité spécifiques. Il relève en outre une augmentation des attaques par ransomware au cours des six derniers mois, renvoyant à la notion de chasse au gros gibier déjà soulignée par l’éditeur : « ils cherchent vraiment à se concentrer sur la monétisation agressive des secteurs d’activité dont ils savent qu'ils auront les moyens de payer ».
Stuart McKenzie, vice-président EMEA de Mandiant, chez FireEye, relève quant à lui que les groupes supportés par des états-nations adoptent de nouveaux outils, techniques et procédures et changent leurs approches : « nous commençons à avoir à réfléchir à la manière dont nous pouvons voir ces acteurs faire des choses différentes. Et nous devons réfléchir à ce qu'ils pourraient faire [au lieu de ce qu'ils ont fait par le passé] ».
Une sophistication croissante
Selon Wendi Whitmore, IBM X-Force a observé une « montée en sophistication » l'année dernière, notamment de la part des attaquants liés à l’Iran : « ils ont considérablement progressé au cours de la dernière décennie, passant de la simple dégradation de sites Web au vol de propriété intellectuelle très ciblé ».
Pour Stuart McKenzie, la campagne iranienne de détournement de DNS constitue un exemple de cette sophistication. Qualifiée de « très rusée », cette campagne comportait plusieurs étapes et techniques, ainsi qu'un haut niveau de coordination et de planification.
Mais, pour Wendi Whitmore, les attaquants nord-coréens ont également gagné en importance et en sophistication, utilisant par exemple leurs compétences pour attaquer les institutions financières à des fins de gains pécuniaires.
Thomas Etheridge ne dit pas autre chose, relevait que ces attaquants apparaissent aujourd’hui particulièrement rapides, avec environ 2h de délai avant de se déplacer latéralement dans un environnement compromis. De quoi se placer en seconde position derrière les acteurs russes, qui s’inscrivent à moins de 20 minutes.
Pour Thomas Etheridge, c’était une surprise : « nous pensions que ce serait la Chine [en deuxième position] ». Mais assurément, les investissements nord-coréens « au cours des dix dernières années, dans l'amélioration des capacités cyber, commencent vraiment à porter leurs fruits, surtout lorsqu'il s'agit de monétisation ».
De son côté, Sturat McKenzie est revenu sur les chiffres du rapport M-Trends 2019 récemment publié par FireEye, et notamment sur les mauvais résultats pour la région EMEA. De quoi souligner que plus l’intrusion dure, « plus il est difficile » de juguler l’incident : « et à partir d’un moment, vous commencez à ne plus faire confiance à votre infrastructure, parce que vous ne savez pas ce que les attaquants ont fait ».
Le partage de renseignement doit s'améliorer
Pour les trois experts, l'amélioration du partage de renseignements sur les menaces pourrait aider à réduire les délais de découverte des attaquants. Thomas Etheridge rappelle que le partage de renseignements se fait entre fournisseurs concurrents, mais qu'il pourrait aussi être amélioré.
Stuart McKenzie approuve, mais relève la réticence des clients à partager toute information de sécurité, même des indicateurs de compromission, à la suite d’un incident : « nous voulons partager ; nous voulons aider plus de gens. Mais [les clients] nous disent que même si les données ne sont que tangentiellement liées à eux, ils ne souhaitent pas que l’on en parle ».
Jason Brvenik, directeur technique de NSS Labs, ne dit pas autre chose. Pour lui, certes, nombreux fournisseurs de services de sécurité partagent effectivement des informations, que ce soit de manière informelle ou par des canaux comme VirusTotal. Mais il y a des limites qui sont souvent imposées par les fournisseurs, parce que l'identification de nouvelles menaces est un avantage concurrentiel que le partage peut annuler : « c’est la question du temps disponible pour jouer avec [de nouveaux échantillons] et injecter de nouvelles choses pour tester des scénarios. Les fournisseurs savent que la dynamique est là, donc ils évitent de lâcher l’information trop vite pour conserver un avantage ».