Fournisseur en solutions de cybersécurité

APT time ! – L’ère des Attaques ciblées

Umbrella

Table des matières

Ces dernières années, les menaces ont trop souvent été personnifiées autour des malwares et autres formes d’attaques directes (réseaux ou applicatives) à l’encontre de nos infrastructures. Mais les transformations du marché et des modèles de système d’information (Cloud, externalisé, multiplication des produits et éditeurs…) ouvrent aujourd’hui de formidables opportunités pour des assaillants de plus en plus préparés, équipés, soutenus et organisés.

Nous ne pouvons plus rester dans une vision simpliste de la cybersécurité en dépensant sans compter espérant que cela nous permette de couvrir globalement nos risques. Les attaques “ciblées” ne sont plus si extraordinaires qu’elles ne l’étaient. En effet si nous la définissons seulement comme étant une opération demandant un minimum de sophistication pour s’introduire par étape au plus profond de nos systèmes d’informations avec suffisamment de furtivité, alors nous comprenons que l’exaction, le méfait gagne très fortement en sévérité. Mais qui pourrait bien nous viser ? pourquoi nous ?

Désormais ce niveau de sophistication devient une nouvelle norme. Au delà de la prédication chamanique, plongeons dans les actualités récentes. Et découvrons ensemble l’ère moderne des APT industrialisées ou les attaques à ciblage opportuniste.

2017 - Petya

Quel est le point commun entre le second malware le plus médiatisé de l’année 2017 (Not/petya) et un éditeur de logiciel comptable ukrainien ? 

Le 27 Juin 2017 après les vagues de Wannacry et adylkuzz (qui a moins fait parlé et a pourtant été très contagieux), apparaissait un petit nouveau d’abord défini comme Ransomware. Mais celui-ci a été rapidement reclassifié, il est un Wiper car il sabote irrémédiablement vos volumes de données logiques (disques durs). Et même s’il vous propose de payer une rançon, vous ne pourrez pas retrouver vos données … 

Le cas de Not/petya (et autre écriture du même acabit) démontre effectivement la tendance forte du malware et de ses transformations. Il présageait déjà un modèle qui se cherchait sur comment forcer la victime à payer ou à souffrir.  Mais le principal enseignement est en réalité le vecteur de propagation initial de la menace bien loin des expositions publiques du protocole SMB (protocole propriétaire Microsoft servant entre autre au partage de fichier). En effet la toute première propagation se réalise au travers des mises à jours d’un logiciel de comptabilité ukrainien nommé MEDoc.

Les serveurs de cet éditeur ont été préalablement piratés et maintenus sous contrôle discret pour ne pas attirer les regards des équipes de sécurité. Les pirates ont attendu patiemment l’occasion rêvée pour propager un nouveau malware, même si les soupçons se sont porté sur la volonté de nuire localement à l’Ukraine.

La Technique est alors toute nouvelle et démontre un degrés de sophistication et de patience que l’on attend peu. Et qui a immobilisé nombre d’entreprises françaises.

2020 - SolarBurst

Plus récemment un problème de plus grande envergure a été mis en évidence avec le piratage de l’éditeur de solution de cybersécurité Fireeye en décembre 2020. Ce piratage a permis de mettre en lumière des activités au sein de services critiques. Leur point d’origine aurait alors été une porte dérobée (Backdoor) intégrée à un logiciel de supervision des équipements réseaux bien connus du marché, à savoir Orion de l’éditeur SolarWinds.

Le problème, c’est que comme le démontre fièrement l’éditeur sur son site publique, ce logiciel est exploité par bon nombre de clients dont des entreprises ou administrations prestigieuses. Réussir à corrompre celui-ci a demandé patience et technicité dans le seul espoir qu’à terme les portes s’ouvrent sur des cibles potentielles. Le groupement de pirate n’avait alors qu’à définir si cette cible était dans ses objectifs ou à revendre l’accès à un groupement partenaire.

Nous pouvons comprendre que les piratages ne sont plus seulement l’œuvre de groupes isolés qui se structurent, s’industrialisent et se professionnalisent. Cela fait des années que nous savons que le marché souterrain crée de véritables connexions opportunistes. Sauf que jusqu’ici, majoritaires sont ceux qui ont pensé ne pas être “dignes” d’une attaque ciblée.

2021 - Frappes en séries

Le 20 Janvier 2021, une entreprise de sécurité retrouve les fichiers volés de l’Agence Européenne du Médicament (EMA) sur un site de l’internet profond. L’objectif était visiblement d’entretenir le climat complotiste pour déstabiliser la confiance en les politiques vaccinales. Cela illustre totalement la notion d”Hacktivisme”, terme construit autour de l’agrégation des mots “Hacking” (piratage en Anglais) et “Activisme”.

En pleine pandémie mondiale, mais surtout en plein regain épidémique européen, l’hôpital de Dax est paralysé. Si l’attaque semble à première vue “basique” en raison de l’usage d’un simple Ransomware… L’impact a été majeur voir total au point de figer toute la capacité d’intervention chirurgicale pour une raison simple. Le système automatisé de ventilation et de désinfection des blocs opératoires est devenu inopérant. Ce dernier se synchronisait avec le serveur d’entreprise de gestion des ressources (ERP). Effet de cascade bien connu et craint tant par les industriels que par les prestataires de services…

L’affaire s’est étendue sur les ondes des médias principaux (mainstream). Les gouvernements se sont emparés du sujet, le président Macron confirme en février un plan d’un milliard d’euros pour renforcer la cybersécurité. Preuve s’il en faut d’une vraie prise de conscience globale qui s’opère sur la réalité de la cybercriminalité d’aujourd’hui. 

Ce que l'on peut retenir ...

Devant ces avalanches d’articles, d’annonces et de débauches de moyens, il est légitime de s’interroger. Que pouvons-nous faire ? Un aveu d’echec de nos politiques et investissements défensifs ? Sombrer dans un pessimisme numérique ? Décroître et prendre le risque de perdre de formidables opportunités de développement ?

Nous pensons qu’il est au contraire temps de se reposer des questions profondes sur notre manière de “consommer de la cybersécurité”. Rationnaliser, optimiser, recentrer le sujet autour d’un pilotage intelligent et pragmatique des risques profonds. 

alone_future

Ne restez pas seuls face aux nouveaux défis !

Nous devons tirer enseignement d’un silotage trop profond de nos organisations diluant les responsabilités et éloignant les enjeux de ceux qui en défendent la valeur. Nous ne devons pas rejeter les modèles et paradigmes précédents, mais assimiler leurs limites pour les dépasser. Utiliser les outils selon un véritable attendu sécuritaire défini. Il est temps de se rencontrer, de se donner la parole et d’explorer vos sujets.

Nos forces dans nos collaborations, nos ressources dans nos réseaux, nos nutriments dans nos racines.