[Synthèse] Panorama de la cybermenace 2022 de l’ANSSI

Newsletter

Dans son Panorama de la cybermenace 2022 l’ANSSI livre son analyse des tendances de la menace cyber, dans un contexte de conflit russo-ukrainien.

L’ANSSI confirme des tendances 2021, avec légère baisse des ransomwares. Les acteurs malveillants ciblent davantage des entités moins protégées.

1182 intrusions avérées, traitées par l’ANSSI.

Objectifs majeurs des attaquants – threat actors (TA)

  • Espionnage
  • Gain financier
  • Déstabilisation

Changement de doctrine : les TA ciblent les infrastructures périphériques, davantage exposées (supply chain) qui offrent un accès furtif et persistant.

Phénomène de convergence des outils et des techniques des profils d’attaquants.

Exploitation de vulnérabilités disposant de correctifs.

Vague d’attaque contre les collectivités territoriales.

1 – Amélioration des capacités des attaquants

A – Une convergence accrue de l’outillage des attaquants

TA étatiques poursuivent l’utilisation de codes et de méthodes du milieu criminel (rançongiciels, par exemple en Albanie en juillet 2022). Porte dérobée modulaire DarkCrystal RAT mise en vente/ Alignement des groupes russophones sur les intérêts du Kremlin depuis l’offensive en Ukraine.

B – Le ciblage d’équipements périphériques

Ciblage d’infra périphériques (pare-feux, routeurs) car connectés en permanence, peu supervisés. Intégration possible aux infra attaquantes afin d’anonymiser les communications ou activités de reconnaissance. Installation d’outils d’administration à distance (Remote Administration Tool – RAT) donnant possibilité d’exfiltration d’informations techniques et de données métier, interceptions de communication entre bureaux.

C – Des acteurs privés toujours actifs

Secteur des entreprises privées de lutte informatique offensive (LIO) très actif : rachat de l’entreprise italienne RCS Lab par Cy4Gate. EspioLogiciel Hermit. La commission d’enquête PEGA du Parlement européen planche sur cette question. Entreprises d’expertises humaines pour espionnage économique, secret des affaires et défense nationale.

2 – Gain financier, espionnage, déstabilisation :
objectifs des attaquants

A – Les attaques à finalité lucrative demeurent courantes

Baisse en volume de l’activité des rançongiciels en France et en Europe (-46% sur 2022), mais recrudescence au T3. Cependant, les collectivités territoriales sont les plus touchées par les rançongiciels après les TPE / PME / ETI (23% du total).

Parmi ceux-ci, Lockbit (26 attaques 2022), Ryuk, (24 attaques en 2021), Conti (22 attaques 2021).

Montée en puissance en 2022 : Black Cat (7), Hive (passant de 3 en 2021 à 13 en 2022), et le nouvel entrant, Play (4 attaques).

Facteurs explicatifs de cette tendance : invasion russe en Ukraine qui réoriente les groupes, qui s’alignent selon leurs motivations avec les intérêts des belligérants. Réorientation géographique : l’Amérique latine particulièrement ciblée. Engagement dissuasif des US. Conti victime de divulgation de données, vraisemblablement orchestrée par un membre ukrainien du groupe.

Conséquences critiques des rançongiciels, en particulier dans le domaine de la santé : données financières, suivi des patients, confidentialité, etc. Centre sud francilien victime d’une attaque par rançongiciel revendiquée par Lockbit., à l’issue de quoi 11 giga-octets de données exfiltrées lors de la compromission ont été publiées. Certains gouvernements sont notamment victimes de rançongiciels : Pérou et Costa Rica en avril 2022. Ce dernier Etat a d’ailleurs déclaré l’état d’urgence après l’attaque menée via le rançongiciel Conti. En août 2022, c’est le Monténégro qui est touché via rançongiciel Cuba, demandant une aide internationale.

Les services de distribution de services malveillants : Dridex, Trickbot semblent avoir disparu, mais Qakbot ou Emotet sont de nouveau actifs. Adaptation des cryptomineurs pour être moins détectables en consommant moins de puissance de calcul (CPU) : groupe team TNT, Kinsing via techniques d’obfuscation, ou automatisation de l’exploitation de vulnérabilités comme Log4j.

B – Activités d’espionnage se maintiennent en France et dans le monde à la faveur d’un contexte géopolitique extrêmement tendu

Compromission en profondeur du SI d’un fournisseur français spécialisé du secteur de la Défense. L’investigation a confirmé la présence d’un acteur malveillant au sein du SI depuis au moins mars 2021, avec de multiples occurrences d’exfiltrations. Tendance des attaques sur la supply chain (partenaires, sous-traitants, prestataires, etc.) lors de campagnes au long cours.

C – Une menace de déstabilisation à surveiller dans un contexte géopolitique sensible

Augmentation du niveau de la menace en Europe : DDOS, sabotage contre infrastructures critiques, principalement dans zone du conflit ukrainien. Peu de dommages collatéraux constatés, excepté KA-SAT. Recrudescence du hacktivisme, surtout en Europe de l’Est. Des acteurs comme KillNet, Squad303, ou IT Army of Ukrain via DDOS, exfiltration, défigurations de sites Internet ou divulgations de données sur Europe ou Amérique du Nord. Cependant, l’impact médiatique de ces actions est souvent disproportionné par rapport au niveau de compétences mises en œuvre et à l’impact réel sur le fonctionnement de leurs cibles.

3 – Faiblesses exploitées

A – Exploitation de vulnérabilités

La majorité des vulnérabilités les plus exploitées en 2022 possèdent des correctifs depuis 2021. TOP CVE : (CVE-2021-34473 / Microsoft Exchange) ; (CVE-2021-44228 / Apache).

En outre, de multiples CVE ont été découvertes dans Microsoft Exchange, permettant par exemple une exécution du code arbitraire à distance et une prise de contrôle du serveur de messagerie Microsoft Exchange, via la technique ProxyShell.

Système CVSS (Common vulnerability scoring system) : évaluation standardisée de la criticité des vulnérabilités selon des critères objectifs et mesurables. Multiples vulnérabilités dans Microsoft Exchange, Atlassian confluence, GLPI, ZIMBRA.

Top 3 CVE les plus sévères selon CVSS :

CVE les plus sévères

B – Exploitation des nouveaux usages numériques à des fins malveillantes

Les nouvelles technologies accroissent la surface d’attaque de leurs utilisateurs. En effet, les solutions de virtualisation sont particulièrement ciblées à des fins d’espionnage pour déployer des portes dérobées (VirtualPita, VirtuaPie). Plusieurs incidents ont impliqué la compromission d’hyperviseurs VMWare via une console vCenter ou un ESXI afin de prendre le contrôle de l’ensemble des machines virtuelles hébergées dans l’environnement.

Dans la même logique, le Cloud Computing et l’externalisation de services auprès d’ESN augmentent la surface d’attaque. Les infrastructures du Cloud peuvent aussi constituer un vecteur d’intrusion efficace. Le déploiement  de solutions d’authentification unique (Single sign on – SSO) et les services du Cloud peuvent, via les cookies de session, constituer un vecteur d’intrusion ou un levier de latéralisation efficace en contournant l’authentification, y compris multifacteur.

C – Les opportunités offertes par les divulgations de données

Les rançongiciels, la négligence, mises en vente par des cybercriminels, opérations informationnelles, etc. les divulgations sont un levier d’action pour les attaquants. Campagne d’hameçonnage crédibles.

4 – Conclusion : vigilance sur les prochains grands événements sportifs et évolutions législatives

Point de vigilance sur la Coupe du monde de rugby 2023 et les JO 2024.

Les récentes évolutions législatives telles que la directive Network and Information System Security (NIS 2) adoptée par le Parlement européen le 10 novembre 2022, et transposée en droit français au plus tard d’ici le s2 2024, vont renforcer le pouvoir de supervision de l’agence et d’élargir son champ d’actions (exigences de sécurité plus importantes).

Rédacteur : Musashi
Article publié le 7 février 2023

 

Newsletter

 

Articles: