Le cyber-espionnage est plus actif que jamais pour le GReAT

SDBR News : Quelle est l’état de la menace d’espionnage informatique et que peut-on craindre pour 2022 ?

Paul Rascagnères

Paul Rascagnères : Vous savez certainement que les membres de l'Équipe internationale de recherche et d'analyse (GreAT) de Kaspersky Lab sont organisés en 2 groupes : l’un qui s’occupe des criminels motivés par l’appât du gain (à l’aide de ransomware essentiellement) ; l’autre qui s’occupe de l’espionnage cyber. Je m’occupe d’espionnage au sein du GReAT. Nous n’observons pas de déclin des activités d’espionnage, je dirais même que c’est plus actif que jamais. La différence que nous percevons, c’est que les projecteurs sont braqués sur les ransomwares et que l’espionnage est un peu passé au second plan, probablement parce que l’impact sur la victime est plus discret et moins direct : contrairement au ransomware où le système informatique risque de tomber du jour au lendemain. Les espions peuvent être dans votre système plusieurs années sans que cela altère le fonctionnement de vos machines. Donc nous observons que l’espionnage continue, se professionnalise, est de plus en plus pernicieux. Quant à la menace ransomware, elle a évolué; elle est aujourd’hui largement ciblée sur les entreprises. Les acteurs sont différents, même si les modes opératoires commencent à se rapprocher.

SDBR News : Parlez-nous des modes opératoires…

Paul Rascagnères : Les espions ne se soucient pas de savoir comment blanchir de l’argent, alors que le cybercriminel n’a que cela en tête car il veut récupérer la rançon demandée : donc il va entrer dans les réseaux traditionnels de blanchiment d’argent. Sur les incidents, nous observons que ces deux profils ne travaillent pas de la même manière, avec des commanditaires différents et des buts différents. L’espion a une mission, reçue d’un donneur d’ordre, qui est d’accéder à un type de données particulier et il n’est pas pressé. Il va prendre son temps pour infiltrer le système d’information et va parfois y rester des mois voire des années avant qu’il ne soit détecté. Concernant les ransomwares, l’échelle de temps n’est pas la même et tout va extrêmement vite : quelques heures de travail pour tout chiffrer ! Si les cybercriminels pouvaient obtenir des rançons sans avoir à chiffrer les données, ils ne perdraient pas de temps à le faire car ce n’est pas dans leur nature. D’ailleurs, on peut prédire pour l’an prochain que les opérateurs de ransomwares vont commencer à se concentrer davantage sur le « chantage financier ». Cela consiste à menacer de divulguer des informations cruciales sur des entreprises lors d'événements financiers critiques (par exemple, juste avant une fusion, une acquisition ou une introduction en bourse) et, ainsi, de faire chuter la valeur de leurs actions. Dans cette situation de vulnérabilité, les entreprises visées accepteront plus facilement de payer une rançon.

SDBR News : Avez-vous une idée du nombre et de l’importance des groupes de cyber-espionnage ?

Paul Rascagnères : C’est une observation difficile mais on constate qu’il y a beaucoup d’activité et beaucoup de campagnes ; d’ailleurs nous mettons chez Kaspersky beaucoup de ressources humaines sur ces investigations. Ce qui est nouveau, c’est qu’il y a des cibles de prédilection qui sont ciblées en même temps par un nombre incalculable d’attaquants. C’est notamment ce que nous avons constaté sur l’attaque ProxyLogon en début d’année : lorsque nous nous sommes penchés sur l’attaque, à un moment nous ne savions plus qui faisait quoi, car nous pouvions être en face de 5 attaquants en même temps !                     

SDBR News : Les attaques d’espionnage que vous constatez sont-elles toujours initiées par du « phishing » ? 

Paul Rascagnères : Nous observons deux catégories à parts quasi égales :

  • le phishing pour 50%, avec e-mail malveillant et pièce jointe qui, lorsqu’on l’ouvre, déploie un malware ;

  • l’attaque frontale (50%) sur les serveurs VPN. Les attaques frontales ont explosé depuis le développement du télétravail domestique pour lequel certains fournisseurs ont des difficultés à suivre le mouvement : vous avez du entendre parler de ProxyLogon qui exploite la vulnérabilité CVE-2021-26855 (SSRF) et permet à un attaquant externe de contourner le mécanisme des serveurs Exchange.

Dans tous les cas nous remarquons une forte professionnalisation dans les méthodes d’attaques employées.

SDBR News : Que doit faire l’entreprise face à ces attaques ?

Bertrand Trastour

Bertrand Trastour : Pour se défendre il faut vraiment former les personnels pour qu’ils soient sensibilisés à ces menaces et puis il existe des outils qui évitent d’être aveugle face à ces menaces. Les outils doivent pour autant être correctement utilisés donc il faut avoir des ressources humaines pour cela. Aucun outil n’est magique : il faut des process simples de reporting ou d’alerte, et des professionnels derrière ces outils pour comprendre et interpréter. La promesse de Kaspersky est de fournir les outils les plus complets possibles et couvrant un spectre fonctionnel pouvant protéger d’un certain nombre de menaces. Mais ces outils performants et complexes, pouvant s’adapter à des types différents de secteurs et à différentes tailles d’entreprises, ne seront rien sans des ressources humaines compétentes, internes ou externes, pour les piloter. L’utilisateur reste le maillon faible de la bataille contre les attaquants s’il n’a pas été correctement sensibilisé et formé. Il faut savoir interpréter les signaux faibles et remonter les doutes à des gens plus compétents : c’est la chaîne d’alerte de l’entreprise qui doit être mise en place par la gouvernance. Le risque est souvent sur la supply chain comme vous le savez.

SDBR News : En cette fin d’année, que prévoyez-vous pour 2022 ?

Bertrand Trastour : Les chercheurs de Kaspersky viennent de présenter leur vision des menaces persistantes avancées (APT) et leur évolution pour 2022. La politisation croissante du cyberespace, le retour des attaques de bas niveau (augmentation croissante des bootkits), l’arrivée massive de nouveaux acteurs APT ainsi que la multiplication des attaques contre la supply chain font notamment partie des tendances mises en avant par nos chercheurs. De même, l'utilisation de logiciels espions édités par des entreprises privées, mise au jour par le « Projet Pegasus », a fait basculer dans le domaine du possible les attaques de type zero-day sur iOS et nous avons vu des développeurs d’outils de surveillance avancée accroître leurs capacités d’évasion face aux solutions de détection et d’analyse (comme le cas de FinSpy) et les utiliser (à l’instar du système Slingshot). Mais les chercheurs du GReAT envisagent d’autres menaces en 2022 : attaques sophistiquées et de grande ampleur à l’encontre des terminaux mobiles, poursuite de l’exploitation du télétravail, explosion des attaques envers la sécurité du Cloud et les services externalisés. Et géographiquement et en termes d’espionnage : hausse des intrusions en Afrique. Une année cyber-intense en perspective donc…

https://www.kaspersky.fr

Crédits photos: Kaspersky