A la Une

Quelle ligne d’attaque est-ce quand même? Les cyberattaques sont plus difficiles à résoudre que jamais

Des groupes sophistiqués pas toujours aussi faciles à repérer

Les espions et les pirates informatiques soutenus par les gouvernements utilisent de plus en plus de logiciels malveillants disponibles dans le commerce – grâce au marché florissant des logiciels malveillants disponibles sur le marché – rendant plus difficile pour les chercheurs d’identifier qui est exactement à l’origine d’une cyber-attaque.

Traditionnellement, les organismes infosec cherchaient à identifier et à démasquer les équipes de piratage informatique en étudiant le code malveillant qu’ils utilisent, ou les noms de domaine et adresses IP des serveurs de contrôle principaux, etc. Toutefois, lorsque des groupes au sein d’agences de renseignement utilisent des boîtes à outils communes et largement disponibles, ou lancent des attaques depuis leurs réseaux respectifs, il est difficile de déterminer qui est exactement derrière l’intrusion, selon FireEye eggheads. Ce pourrait être une opération nationale, des criminels dans un sous-sol ou un adolescent ennuyé, utilisant tous les mêmes outils. Comme toujours, l’attribution est difficile.

« L’adversaire nous donne souvent des preuves, quand il envoie un malware, il vous remet des preuves médico-légales pour les suivre », a expliqué John Holtquist de FireEye. « Nous trouverions des indications ou des artefacts uniques que nous pourrions connecter parce que nous savions que personne d’autre ne pourrait avoir accès à cette information d’infrastructure. »

À mesure que les marchés souterrains des logiciels malveillants deviennent plus répandus, les développeurs peuvent écrire et vendre des logiciels malveillants à divers groupes. C’est notamment le cas en Russie, où l’élaboration de logiciels malveillants est une industrie artisanale et où les pirates informatiques qui se font prendre sont confrontés au choix de la prison ou coopèrent avec le gouvernement. Le résultat est que les groupes de piratage du gouvernement obtiennent leur choix de logiciels malveillants commerciaux à emprunter ou à réutiliser, ce qui complique les choses en termes d’identification. Tout le monde peut acheter et utiliser ces programmes.

« Les services de sécurité ont l’obligation de faire ce travail [de piratage informatique] et de faire également respecter les lois », a noté Holtquist. « Nous les avons vu sortir de l’espace criminel à plusieurs reprises. »

Les événements mondiaux peuvent également masquer des sources de cyber-agressions. C’est notamment le cas de la Chine, où les chercheurs Benjamin Read et Cris Kittner ont découvert que la réorganisation de l’Armée de libération du peuple en 2016 avait provoqué une interruption, puis une relance, des campagnes de piratage politique et économique soutenues par l’État chinois.

Crise chinoise

De même, les groupes de pirates informatiques chinois censés avoir été dissous il y a plusieurs années ont soudainement réapparu et, avec eux, des attaques longtemps en sommeil. Dans le cas d’une attaque de 2018 contre une compagnie de navigation des Etats-Unis d’Amérique non spécifiée, les intrus du réseau se sont assis tranquillement pendant plus d’un an et demi.

« Ils ont mis en place une porte dérobée, et tout ce que vous voyez pendant les 18 prochains mois est une personne qui vérifie la porte de derrière deux fois par mois, puis s’est installée et a obtenu des données », a déclaré Read. « Ce n’est pas seulement que nous voyons ces lacunes, mais que l’activité sur le réseau s’arrête aussi. »

Pour aggraver les choses, les groupes de piratage financier deviennent également plus sophistiqués et difficiles à distinguer. Les chercheurs Kimberly Goody et Nart Villaneuve ont déclaré que les attaques financières, telles que les attaques contre le système de transaction SWIFT ou les attaques de «jackpotting» dans les distributeurs automatiques de billets, utilisent le type d’opérations complexes auparavant uniquement entreprises par des groupes gouvernementaux.

« En raison de la rentabilité de ces attaques où vous pouvez gagner des millions de dollars en une seule opération », a déclaré M. Goody, « et en raison de la sophistication croissante des criminels, c’est une tendance que nous nous attendons à voir se poursuivre.

Mea Culpa: Une partie de la responsabilité incombe également sur nos pirates, les hackers. Goody et Villaneuve notent que lorsque des attaques se produisent, les objets peuvent également les confondre à partir des outils. Dans le cas des attaques de cette année sur Ticketmaster, Feedify et British Airways, par exemple, le programme malveillant MageCart a été utilisé à chaque fois, probablement par différents groupes ayant des objectifs différents plutôt que par une partie entièrement dédiée à MageCart.

Plutôt que de chercher à relier les infections à des groupes, les chercheurs suggèrent que les personnes séparent les deux et comprennent que de nos jours, un logiciel malveillant ne constitue pas un cadeau d’un groupe spécifique, mais plutôt un outil unique venant d’ailleurs. ®

[Remarque : Dans cet article, les attaques lancées par des organismes comme la NSA des Etats-Unis d’Amérique ou ceux d’Israël n’ont pas été abordés. Elles ont pourtant fait du tort à différentes parties avec leurs méthodes de pénétration sophistiquées. Cela aurait rendu la consistance de l’article plus complète et plus scientifique. MIRASTNEWS].

Shaun Nichols à San Francisco

Traduction : MIRASTNEWS

Source : The Registrer

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :