En novembre, le président ukrainien a révélé que les défenses informatiques du pays avaient repoussé plus de 1,300 XNUMX cyberattaques russes, y compris des attaques contre l'infrastructure de communication par satellite.
L'assaut des cyberattaques met en évidence l'un des changements dans les attaques de menaces persistantes avancées (APT) observés au cours de l'année écoulée : en 2022, les tensions géopolitiques se sont intensifiées et, avec elles, les cyberopérations sont devenues la stratégie de choix pour les gouvernements nationaux. Alors que la Russie et d'autres pays ont utilisé des cyberattaques pour soutenir des actions militaires dans le passé, la guerre en cours représente la cyberopération la plus soutenue à ce jour et celle qui se poursuivra sans aucun doute dans l'année à venir, selon les experts.
Les conflits militaires rejoindront la cybercriminalité en tant que force motrice des groupes APT au cours de l'année à venir, a déclaré John Lambert, vice-président d'entreprise et ingénieur distingué au Threat Intelligence Center de Microsoft, dans le rapport sur la défense numérique 2022 de la société publié le mois dernier.
"Le conflit en Ukraine a fourni un exemple trop poignant de la façon dont les cyberattaques évoluent pour avoir un impact sur le monde parallèlement à un conflit militaire sur le terrain", a-t-il déclaré. "Les systèmes électriques, les systèmes de télécommunication, les médias et d'autres infrastructures critiques sont tous devenus la cible d'attaques physiques et de cyberattaques."
Alors que l'utilisation accrue des attaques APT par la Russie est le changement le plus visible qui s'est produit au cours de l'année écoulée, les APT évoluent. D'autres se tournent vers les infrastructures critiques, adoptent des outils à double usage et des techniques de vie hors de la terre, et identifient la chaîne d'approvisionnement des logiciels pour accéder aux entreprises ciblées.
Les cybercriminels utilisent des outils de plus en plus sophistiqués, mais les techniques APT sont généralement attribuées aux opérations des États-nations, ce qui signifie que les entreprises doivent être plus conscientes des techniques utilisées par les acteurs avancés et de la manière dont elles peuvent être motivées par des préoccupations géopolitiques, déclare Adam Meyers, vice-président senior président du renseignement pour la société de services de cybersécurité CrowdStrike.
« Vous n'avez pas une menace uniforme — elle change selon le secteur d'activité et la géolocalisation », dit-il. "Vous - et c'est notre mantra depuis de nombreuses années - n'avez pas de problème de malware, vous avez un problème d'adversaire, et si vous pensez à qui sont ces adversaires, ce qu'ils recherchent et comment ils fonctionnent, alors vous aurez être dans une bien meilleure position pour se défendre contre eux.
Infrastructure critique, satellites de plus en plus ciblés
En 2021, l'attaque contre le distributeur de pétrole et de gaz Colonial Pipeline a mis en évidence l'impact que la faiblesse de la cybersécurité pourrait avoir sur l'économie américaine. De même, cette année Attaque du système de communication par satellite Viasat – probablement par la Russie – a montré que les acteurs de la menace APT ont continué à se concentrer sur la perturbation des infrastructures critiques par le biais de cyberattaques. La tendance s'est accélérée au cours de l'année écoulée, Microsoft avertissant que le nombre de notifications d'États-nations (NSN) émises par l'entreprise en tant qu'alertes aux clients plus que doublé, 40 % des attaques ciblant des infrastructures critiques, contre 20 % l'année précédente.
Les infrastructures critiques ne sont pas seulement la cible des acteurs des États-nations. Les cybercriminels axés sur les ransomwares ciblent également les entreprises d'infrastructures critiques, tout en poursuivant une stratégie de piratage et de fuite, Kaspersky déclaré dans ses prédictions APT récemment publiées.
"Nous pensons qu'en 2023, nous assisterons à un nombre record de cyberattaques perturbatrices et destructrices, affectant le gouvernement, l'industrie et les infrastructures civiles critiques - peut-être les réseaux énergétiques ou la radiodiffusion publique, par exemple", déclare David Emm, chercheur principal en sécurité chez Kaspersky. "Cette année, il est devenu clair à quel point l'infrastructure physique peut être vulnérable, il est donc possible que nous voyions le ciblage des câbles sous-marins et des hubs de distribution de fibre."
Pas seulement la grève du cobalt
Cobalt Strike est devenu un outil populaire parmi les groupes APT, car il fournit aux attaquants - et lorsqu'il est utilisé à ses fins légitimes, aux équipes rouges et aux testeurs de pénétration - des capacités de post-exploitation, des canaux de communication secrets et la possibilité de collaborer. L'outil de l'équipe rouge a "surgi [ped] dans une myriade de campagnes allant des APT parrainées par l'État aux groupes de menaces à motivation politique", explique Leandro Velasco, chercheur en sécurité au sein de la société de cybersécurité Trellix.
Pourtant, alors que les défenseurs se concentrent de plus en plus sur la détection à la fois de Cobalt Strike et du populaire Metasploit Framework, les acteurs de la menace se sont tournés vers des alternatives, notamment l'outil de simulation d'attaque commerciale Brute Ratel C4 et l'outil open source Sliver.
« Brute Ratel C4… est particulièrement dangereux car il a été conçu pour éviter la détection par la protection antivirus et EDR », déclare Emm de Kaspersky. D'autres outils prometteurs incluent Manjusaka, qui a des implants écrits en Rust pour Windows et Linux, et Ninja, un package d'exploitation et de contrôle à distance pour la post-exploitation, dit-il.
Identité attaquée
Suite à la pandémie de coronavirus, le travail à distance - et les services cloud pour prendre en charge ce travail - ont pris de l'importance, ce qui a conduit les attaquants à cibler ces services avec des attaques d'identité. Microsoft, par exemple, a vu 921 attaques par seconde, soit une augmentation de 74 % en volume au cours de l'année écoulée, la société a indiqué dans son rapport.
En effet, l'identité est devenue une composante essentielle de la sécurisation de l'infrastructure et de l'entreprise, tout en devenant une cible majeure des groupes APT. Chaque violation et compromis étudié par CrowdStrike au cours de l'année écoulée a eu une composante d'identité, déclare CrowdStrike's Meyers.
"Nous avions l'habitude de dire confiance, mais vérifier, mais le nouveau mantra est vérifier puis faire confiance," il dit. "Ces attaquants ont commencé à cibler ce ventre mou de l'identité... qui est une partie complexe du système."
Les chaînes d'approvisionnement informatiques sous attaque
L'attaque contre SolarWinds et la vulnérabilité largement exploitée dans Log4J2 ont démontré les opportunités que les vulnérabilités de l'offre logicielle offrent aux attaquants, et les entreprises doivent s'attendre à ce que les groupes APT créent leurs propres vulnérabilités par le biais d'attaques sur la chaîne d'approvisionnement logicielle.
Bien qu'il n'y ait pas encore eu d'événement majeur, les attaquants ont ciblé les écosystèmes Python avec des attaques de confusion de dépendance contre les référentiels open source et attaques de phishing ciblant les développeurs Python. Dans l'ensemble, le nombre d'attaques ciblant les développeurs et les entreprises a augmenté de plus de 650 % au cours de la dernière année.
De plus, les acteurs APT trouvent les points faibles dans les relations entre vendeurs et fournisseurs et les exploitent. En janvier, par exemple, le groupe DEV-0198 lié à l'Iran a compromis un fournisseur de cloud israélien en utilisant les informations d'identification compromises d'une société de logistique tierce, selon le rapport de Microsoft.
"Cette dernière année d'activité démontre que les acteurs de la menace… apprennent à mieux connaître le paysage des relations de confiance d'une organisation que les organisations elles-mêmes", indique le rapport. "Cette menace accrue souligne la nécessité pour les organisations de comprendre et de renforcer les frontières et les points d'entrée de leurs domaines numériques."
Pour renforcer leurs défenses contre les groupes APT et les attaques avancées, les entreprises doivent régulièrement vérifier leur hygiène de cybersécurité, développer et déployer des stratégies de réponse aux incidents et intégrer des flux de renseignements sur les menaces exploitables dans leurs processus, déclare Velasco de Trellix. Pour rendre les attaques d'identité plus difficiles, l'authentification multifactorielle devrait être routinière, dit-il.
"En 2023, une simple planification de la sécurité ne suffit pas pour dissuader ou empêcher les attaquants", déclare Velasco. "Les défenseurs du système doivent mettre en œuvre une approche défensive plus proactive."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/advanced-cyberattackers-disruptive-hits-new-technologies
