Getty Images/iStockphoto
Microsoft : l’activité cyber des États-nations se confond de plus en plus avec la cybercriminalité
Dans son 5e rapport annuel « Digital Defense Report », Microsoft a observé une tendance croissante : des États-nations, comme la Russie et l’Iran, utilisent de plus en plus des cybercriminels et leurs outils pour mener leurs opérations cyber. Publié ce 15 octobre, le rapport couvre les tendances en cybersécurité observées par Microsoft entre juillet 2023 et juin 2024.
Alors qu’une grande partie du rapport se concentre sur les menaces liées aux États-nations, les chercheurs abordent également des problématiques comme la fraude, l’IA générative et les ransomwares. Microsoft a ainsi constaté une augmentation de 2,75 fois des incidents liés aux ransomwares opérés manuellement, mais une baisse notable des attaques atteignant la phase de chiffrement.
Bien que cette statistique montre une amélioration du côté des défenses, Microsoft avertit que « malgré les efforts des forces de l’ordre et des partenaires du secteur public et privé, la complexité, la rapidité, l’impact et la gravité de la cybercriminalité s’intensifient ».
Lignes floues entre États-nations et cybercriminalité
Le rapport souligne que les acteurs sponsorisés par des États empruntent de plus en plus les outils et tactiques des cybercriminels, et engagent parfois directement ceux-ci pour mener des opérations de collecte de renseignements ou même pour obtenir un simple gain financier. Un problème en progression constante, mais qui n’est pas nouveau. Déjà en 2017, la RSA Conference alertait sur la montée des partenariats public-privé dans le domaine de la cybercriminalité…
Par exemple, la Russie a intégré des malwares comme Xworm et Remcos dans son arsenal cybernétique et a sous-traité certaines opérations de cyberespionnage à des cybercriminels. En juin 2024, Storm-2049 (UAC-0184) a utilisé Xworm et Remcos pour compromettre au moins 50 appareils militaires ukrainiens.
Un autre groupe sponsorisé par la Russie, Aqua Blizzard, a maintenu un accès persistant à 34 appareils ukrainiens compromis avant de les « transmettre » à un gang de cybercriminels, Storm-0593. Ce dernier a utilisé des balises Cobalt Strike configurées avec un domaine déjà utilisé dans une campagne de spear-phishing contre des machines militaires ukrainiennes l’année précédente.
Activités cybernétiques en Iran et en Corée du Nord
En parallèle, Microsoft a observé des opérations offensives menées par l’Iran à des fins financières. Un groupe lié aux Gardiens de la révolution, Cotton Sandstorm, a été aperçu vendant des données volées d’un site de rencontres israélien, proposant également de retirer certains profils moyennant finance.
De plus, la Corée du Nord, connue pour son usage de la cybercriminalité pour financer son régime, a volé plus de 3 milliards de dollars en cryptomonnaies depuis 2017. En mai 2024, Microsoft a identifié un nouveau groupe nord-coréen sponsorisé par l’État, Moonstone Sleet, qui a développé un ransomware personnalisé appelé FakePenny pour attaquer des entreprises dans l’aérospatiale et la défense.
Intensification des cyberattaques étatiques
Microsoft avertit que l’activité cybernétique des États-nations s’intensifie et qu’il existe désormais un « combat constant » dans le cyberespace, sans réelles conséquences pour les attaquants. La dissuasion, selon Microsoft, nécessite des solutions à la fois technologiques et géopolitiques pour empêcher les intrusions ou imposer des conséquences.
Microsoft recommande plusieurs approches sous trois axes : renforcer les normes internationales et le travail diplomatique, affiner les attributions des activités malveillantes par les gouvernements, et imposer des mesures de dissuasion.