Trace Id is missing

Bilan de l’année 2023 de la veille des menaces : Informations et développements clés

Cercles rouges dans le ciel

L’année a été incroyable pour la Veille des menaces Microsoft. Le simple volume des menaces et des attaques révélées par les plus de 65 billions de signaux que nous analysons quotidiennement nous a offert de nombreux points d’inflexion, en particulier lorsque nous constatons un changement dans la manière dont les acteurs de la menace se montent en charge et exploitent le soutien des États-nations. L’année dernière, les attaques ont été plus nombreuses que jamais, et les chaînes d’attaques se complexifient de jour en jour. Les temps d’attente se sont raccourcit. Les tactiques, techniques et procédures (TTP) ont évolué pour devenir plus agiles et plus évasives. L’examen des détails de ces incidents nous permet d’identifier des schémas récurrents qui nous permettent à leur tour de déterminer comment nous allons répondre aux nouvelles menaces et d’anticiper la direction qu’elles pourraient prendre ensuite. Notre examen des TTP de 2023 vise à fournir une vue d’ensemble du paysage de la veille des menaces à travers ce que nous avons observé lors d’incidents dans le monde entier. Voici quelques temps forts que Sherrod DeGrippo et moi-même aimerions partager avec vous, ainsi que des extraits vidéo tirés de notre discussion à Ignite 2023.

John Lambert,
Vice-président de Microsoft et responsable de la sécurité

Taxonomie des noms des acteurs de la menace

En 2023, Microsoft a adopté une nouvelle taxonomie de dénomination des acteurs de la menace basée sur le vocabulaire de la météo qui (1) correspond mieux à la complexité, à l’échelle et au volume croissants des menaces modernes et (2) fournit un moyen plus organisé, plus facile à mémoriser et plus simple de référencer les groupes de personnes mal intentionnées.1

Microsoft classe les acteurs de la menace en cinq groupes principaux :

Opérations d’influence par des États-nations : Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Dans notre nouvelle taxonomie, un événement météorologique ou un nom de famille représente l'une des catégories ci-dessus. Les acteurs de la menace appartenant à la même famille météorologique se voient attribuer un adjectif pour distinguer les différents groupes, à l'exception des groupes en développement, qui se voient attribuer des numéros à quatre chiffres.

Les tendances 2023 en matière de tactiques, techniques et procédures de lutte contre les menaces (TTP)

Éviter les outils personnalisés et les logiciels malveillants

Les groupes d'acteurs de la menace qui misent sur la furtivité ont sélectivement évité d'utiliser des logiciels malveillants personnalisés. Au lieu de cela, ils utilisent des outils et des processus existant sur l'appareil de leur victime pour se dissimuler aux côtés d'autres acteurs de la menace utilisant des méthodes similaires pour lancer des attaques. 2

John Lambert, vice-président de Microsoft et spécialiste de la sécurité, explique brièvement comment les acteurs de la menace évitent les outils personnalisés tape-à-l'œil pour être furtifs. Voir la vidéo ci-dessous :

Combiner les opérations cybernétiques et les opérations d'influence (OI)

Au cours de l'été, Microsoft a observé que certains acteurs étatiques combinaient les méthodes des cyber-opérations et des opérations d'influence (OI) dans un nouvel hybride que nous avons appelé "opérations d'influence cybernétiques.” Cette nouvelle tactique permet aux acteurs de renforcer, amplifier ou de compenser les lacunes de leurs capacités d'accès au réseau ou de cyberattaque. 3 Les cyber-méthodes comprennent des tactiques telles que le vol de données, la défiguration, le DDoS et le ransomware, en combinaison avec des méthodes d'influence telles que les fuites de données, les sockpuppets, l'usurpation de l'identité des victimes, les médias sociaux et les communications par SMS ou par courrier électronique.
Un groupe de méthodes cybernétiques et d’influence adaptées au Web

Compromettre les périphériques des réseaux SOHO

Les acteurs de la menace mettent en place des réseaux clandestins à partir de dispositifs de périphérie de réseaux de petits bureaux et de bureaux à domicile (SOHO), et utilisent même des programmes pour aider à localiser les points de terminaison vulnérables dans le monde entier. Cette technique complique l'attribution, car les attaques semblent émaner de virtuellement n'importe où.4

Dans cette vidéo de 35 secondes, John Lambert, de Microsoft, explique pourquoi les acteurs de la menace considèrent les périphériques de réseau SOHO comme des cibles attrayantes. Voir la vidéo ci-dessous :

Les acteurs de la menace obtiennent un accès initial par divers moyens

En Ukraine et ailleurs, les chercheurs de la Veille des menaces Microsoft ont observé que les acteurs de la menace obtenaient un accès initial à leurs cibles à l’aide d’un kit de ressources diverses. Parmi les tactiques et techniques courantes, on peut citer l’exploitation d’applications internet, les logiciels piratés rétrocédés et le harponnage. 5 réactifs, qui ont rapidement intensifié leurs opérations cybernétiques et d'influence après les attaques du Hamas pour contrer Israël.

Se faire passer pour une victime afin d'accroître sa crédibilité

Une tendance croissante dans les opérations d'influence cybernétique consiste à emprunter l'identité de prétendues organisations victimes, ou de personnalités de premier plan au sein de ces organisations, afin d'ajouter de la crédibilité aux effets de la cyberattaque ou de la compromission. 6

Adoption rapide de POC divulgués publiquement pour l'accès initial et la persistance

Microsoft observe de plus en plus souvent que certains sous-groupes d'États-nations adoptent des codes de démonstration de concept (POC) divulgués publiquement peu de temps après leur publication afin d'exploiter les vulnérabilités des applications Internet. 7

 

La figure ci-dessous illustre deux chaînes d'attaque privilégiées par un sous-groupe d'États-nations que Microsoft a observé. Dans les deux chaînes, les attaquants utilisent Impacket pour se déplacer latéralement.

Illustration de la chaîne d’attaque.

Les acteurs de la menace tentent d’utiliser l’envoi massif de SMS pour contacter un public cible

Microsoft a observé que de nombreux acteurs tentaient d'utiliser l’envoi massif de SMS pour renforcer l'amplification et les effets psychologiques de leurs opérations de cyber-influence. 8

La figure ci-dessous présente, côte à côte, deux messages SMS envoyés par des acteurs de la menace se faisant passer pour un réseau sportif israélien. Le message de gauche contient un lien vers une page web altérée de Sport5. Le message de droite dit : "Si vous aimez votre vie, ne voyagez pas dans nos pays.”

Telegram Atlas Group : Captures d’écran d’un SMS se présentant comme une chaîne sportive israélienne.

Les opérations dans les médias sociaux augmentent l'efficacité de l'engagement du public

Les opérations d'influence secrètes ont désormais commencé à s'engager avec succès auprès de publics cibles sur les médias sociaux dans une plus large mesure que ce qui avait été observé précédemment, ce qui représente des niveaux plus élevés de sophistication et de culture des actifs d'OI en ligne.9

 

Vous trouverez ci-dessous un graphique Black Lives Matter qui a été initialement publié par le compte automatisé d'un groupe d'État-nation. Sept heures plus tard, il a été publié à nouveau par un compte usurpant l'identité d'un électeur conservateur américain.

Déclaration de soutien à Black Lives Matter, condamnant les discriminations et les violences policières, prônant la dignité et la sécurité

Spécialisation dans l'économie du ransomware

En 2023, les opérateurs de ransomwares ont tendance à se spécialiser, choisissant de se concentrer sur une gamme restreinte de capacités et de services. Cette spécialisation a un effet de fragmentation, diffusant les éléments d'une attaque par ransomware auprès de multiples fournisseurs dans le cadre d'une économie souterraine complexe. En réponse, la veille des menaces Microsoft piste les fournisseurs individuellement, notant le trafic dans l'accès initial et ensuite d'autres services.10

 

Dans un extrait vidéo de la conférence Ignite, Sherrod DeGrippo, directeur de la stratégie de renseignement sur de la veille des menaces de Microsoft, décrit l’état actuel de l’économie des services de ransomware. Voir la vidéo ci-dessous :

Utilisation régulière d'outils personnalisés

Si certains groupes évitent activement les logiciels malveillants personnalisés à des fins de furtivité (voir "Éviter les outils et les logiciels malveillants personnalisés" ci-dessus), d'autres se sont détournés des outils accessibles au public et des scripts simples au profit d'approches sur mesure nécessitant un savoir-faire plus sophistiqué.11

Cibler l'infrastructure

Bien que les organisations d’infrastructures - les installations de traitement des eaux, les opérations maritimes, les organisations de transport - ne disposent pas du type de données précieuses qui attirent la plupart des cyber-espions en raison de leur manque de valeur en termes de renseignement, elles ont une valeur de perturbation. 12

 

John Lambert, de Microsoft, présente brièvement le paradoxe du cyberespionnage : une cible qui semble ne pas posséder de données. Voir la vidéo ci-dessous :

Comme le montrent les détails des 11 points de 2023 que nous venons d'examiner, le paysage des menaces évolue en permanence, et la sophistication et la fréquence des cyberattaques ne cessent d'augmenter. Il ne fait aucun doute que les quelque 300 acteurs de la menace que nous suivons essaieront toujours de nouvelles choses et les combineront avec les TTP qui ont fait leurs preuves. C'est ce que nous aimons chez ces acteurs de la menace : en les analysant et en comprenant leur personnalité, nous pouvons prédire leurs prochaines actions. Aujourd'hui, grâce à l'IA générative, nous pouvons le faire plus rapidement et nous parviendrons mieux à évincer les attaquants plus tôt.

 

Ceci étant dit, passons à l'année 2024.

 

Pour obtenir des informations et des nouvelles sur la veille des menaces que vous pouvez découvrir sur la route, découvrez Le podcast de la veille des menaces Microsoft animé par Sherrod DeGrippo.

  1. [5]

    Une année de guerre russe hybride en Ukraine. Page 14

  2. [6]

    L'Iran se tourne vers des opérations d'influence cybernétiques pour plus d'efficacité. Page 11.

  3. [8]

    L'Iran se tourne vers des opérations d'influence cybernétiques pour plus d'efficacité. Page 11.

  4. [9]

    Les menaces numériques provenant de l'Asie de l'Est gagnent en ampleur et en efficacité. Page 6

  5. [10]

    Un an chez les services de renseignement : Faits marquants de la campagne mondiale de Microsoft contre les APT

  6. [11]

    L'Iran se tourne vers des opérations d'influence cybernétiques pour plus d'efficacité. Page 12.

  7. [12]

    Un an chez les services de renseignement : Faits marquants de la campagne mondiale de Microsoft contre les APT

Articles connexes

Les acteurs russes de la menace se préparent à tirer parti de la lassitude face à la guerre

Les cyber-opérations et les opérations d'influence russes persistent alors que la guerre en Ukraine se poursuit. La Veille des menaces Microsoft détaille les dernières cybermenaces et activités d'influence au cours des six derniers mois.

Volt Typhoon cible des infrastructures américaines essentielles avec des techniques de type Living off the land

Le système de veille des menaces Microsoft a révélé une augmentation des opérations de cyberinfluence lancées par l’Iran. Obtenez des insights sur les menaces, notamment des détails sur les nouvelles techniques et sur les menaces potentielles dans le futur.

Le ransomware en tant que service : nouveau visage de la cybercriminalité industrialisée

La veille des menaces Microsoft examine une année d’opérations d’influence et dans le cyberespace en Ukraine, découvre les nouvelles tendances en matière de cyber-menaces et ce à quoi il faut s’attendre alors que la guerre entre dans sa deuxième année.

Suivez la Sécurité Microsoft