La menace est toujours présente encore ce mois-ci, nous nous concentrons ici sur les grandes menaces internationales mais toutes les zones sont concernées.
Même si aujourd’hui certains groupes ciblent l’Asie, ils restent néanmoins très prolifiques et sophistiqués, avec une envie de s’étendre à d’autres pays. Cela nécessite donc encore une fois toute notre vigilance.
La menace
IRAN
APT34 (OilRig/COBALT GYPSY/IRN2/HELIX KITTEN) est un groupe Iranien qui a fait parler de lui à la suite de l’utilisation d’une nouvelle porte dérobée nommée Saitama. Saitama exploite le protocole DNS pour ses communications de commande et de contrôle (C2)
Dans cette campagne de harponnage, le groupe ciblait le ministère jordanien des Affaires étrangères.
Habituellement, il vise plutôt les pays du monde entier avec une prévalence pour le Moyen Orient. Ses secteurs de prédilection sont les entités gouvernementales, énergétiques, chimiques et le secteur des télécommunications.
Il n’est pas nouveau puisqu’il fait l’actualité depuis 2014, notamment par sa technique d’ingénierie sociale.
Lors de ses dernières campagnes, les membres du groupe ont créé un faux réseau social pour se faire ensuite passer pour un représentant de l’université de Cambridge. Ils se sont appuyés sur LinkedIn en créant de faux profils.
Cobalt Mirage, alias Charming Kitten, Phosphorus, APT35 ou Newscaster est soupçonné d’être financé par l’Etat Iranien. Il vise le continent américain, comme le prouve sa dernière campagne. Toutefois ils ne se contentent pas d’une seule région, puisqu’ils visent également l’Europe, l’Israël et l’Australie.
Leur motivation est double : à la fois financière et cyber espionnage. Ce gang est assez récent, il est apparu en 2020. Il est connu pour ses techniques de phishing. Les plus connues étant celles contournant Gmail et Yahoo’s 2FA en décembre 2018 ou en mars 2019 contre Microsoft.
INDE
SideWinder (RattleSnake et T-APT-04) est l’un des acteurs de la menace les plus agressifs au cours des deux dernières années. On soupçonne ce groupe d’origine Indienne.
Il cible principalement les forces armées et les forces de l’ordre au Pakistan, au Bangladesh et dans d’autres pays d’Asie du Sud.
Les secteurs d’activités recherchés par le groupe sont essentiellement liés aux forces policières, militaires, maritimes et navales mais on constate qu’ils élargissent leur spectre aux affaires étrangères, aux organisations scientifiques, ainsi qu’au secteur de la défense, l’aéronautique et même l’industrie informatique et les cabinets juridiques.
Depuis la mi-mars 2022, profitant de la crise Ukrainienne, ils ont lancé des campagnes de harponnage en distribuant des logiciels malveillants afin de voler des informations sensibles.
Le niveau de sophistication de ce groupe reste relativement élevé (obscurcissement, chiffrement, des logiciels malveillants multicouches, fractionnement des chaînes d’infrastructure). Etant actifs depuis 2012, ils ont su perfectionner leurs techniques.
Bitter APT (APT-C-08 ou T-APT-17), serait origine sud-asiatique (Inde ?). Ils opèreraient dans le cadre d’un mandat visant à comprendre les objectifs internationaux de la Chine.
Leur motivation semble être la collecte de renseignements et l’espionnage.
Leurs victimes sont essentiellement centrées sur la Chine, le Pakistan et l’Arabie saoudite. Ils visent spécifiquement les organisations gouvernementales bangladaises, secteurs de l’énergie, de l’ingénierie et gouvernement.
Ils sont prolifiques puisqu’ils ont mené de vastes campagnes.
La campagne en cours depuis août 2021 vise les organisations gouvernementales bangladaises. Pour cela ils envoient des courriels de harponnage à des officiers de haut rang de l’Unité d’action rapide du bataillon de la police du Bangladesh (RAB).
Avant cette campagne ils ont fait parler d’eux en 2021 en exploitant des failles zero day– CVE-2021-1732 et CVE-2021-28310. En juin 2020, ils ont mené une campagne de cyber espionnage ciblant des PC Microsoft Windows dans des entités gouvernementales et de télécommunications en Chine et au Pakistan.
On constate une rivalité croissante entre l’inde et la Chine et le Pakistan. L’inde devient une des nations sud-asiatiques dotées de cyber capacités avancées. La cybercriminalité élargit ses horizons à des cibles au Moyen-Orient.
Les campagnes
État d’urgence au Costa Rica
La récente attaque du rançongiciel Conti a déclenché l’état d’urgence au Costa Rica . L’incident a touché, entre autres, le ministère du Travail et de la Sécurité sociale, le ministère des Sciences, de l’Innovation, de la Technologie et des Télécommunications.
Microsoft
Microsoft a découvert plus de 35 familles de rançongiciels uniques et 250 acteurs de menace uniques l’année dernière. La plupart ont exploité Cobalt Strike et plusieurs outils d’entreprise légitimes pour obtenir un accès initial et une persistance sur les réseaux.
Attaque Supply Chain
Dis-Chem, le géant de la distribution de médicaments, organisation sud-africaine a été victime d’une cyberattaque via son fournisseur de services tiers. 3,6 millions de données compromises.
Synthèse
- Les attaquants sont très agressifs, extrêmement rapides. Les organisations semblent encore peu préparées. L’incident au Costa Rica et en Amérique Latine de façon globale le prouve.
- Les vecteurs d’intrusion restent encore et toujours le phishing et les systèmes vulnérables.
- Force et de constater que la crise Ukrainienne n’a pas aidé à faire baisser les attaques. De nombreux groupes profitent du conflit pour perfectionner leurs attaques, voire d’user de faux drapeaux.
- Les pirates iraniens sont à l’affût.
Compte tenu de l’augmentation du volume de cibles par les groupuscules offensifs, et des différentes méthodes utilisées, TEHTRIS continue de penser que la meilleure stratégie réside dans la mise en place de capacités opérationnelles capables de détecter et de répondre à des incidents, avec une vraie vision holistique, reliant de multiples capteurs (sondes réseaux, sondes systèmes, logs, etc)
Par ailleurs, seule une neutralisation automatique sans action humaine, permet de garantir une vraie efficacité vue l’effet fulgurant observé sur les attaques du moment où les groupuscules pénètrent des entreprises et mettent en vente leurs données volées sur des cycles très courts.