Microsoft met en garde contre le pic du jour zéro alors que les groupes d'États-nations changent de tactique

Les responsables de la sécurité des entreprises qui perçoivent les cybergroupes soutenus par les États-nations comme une menace lointaine pourraient vouloir revoir cette hypothèse, et à la hâte.

Plusieurs événements géopolitiques récents dans le monde au cours de l'année écoulée ont entraîné une forte augmentation de l'activité des États-nations contre des cibles critiques, telles que les autorités portuaires, les sociétés informatiques, les agences gouvernementales, les organes de presse, les sociétés de crypto-monnaie et les groupes religieux.

Une analyse Microsoft de la paysage mondial des menaces au cours de la dernière année, sorti le 4 novembre ont montré que les cyberattaques ciblant les infrastructures critiques ont doublé, passant de 20 % de toutes les attaques d'États-nations à 40 % de toutes les attaques détectées par les chercheurs de l'entreprise.

De plus, leurs tactiques changent - notamment, Microsoft a enregistré une augmentation de l'utilisation des exploits zero-day.

Plusieurs facteurs ont entraîné une augmentation de l'activité de menace des États-nations

Sans surprise, Microsoft a attribué une grande partie de la hausse aux attaques de groupes de menaces soutenus par la Russie liées à et soutenant la guerre du pays en Ukraine. Certaines des attaques visaient à endommager les infrastructures ukrainiennes, tandis que d'autres étaient davantage liées à l'espionnage et visaient des cibles aux États-Unis et dans d'autres pays membres de l'OTAN. Quatre-vingt-dix pour cent des cyberattaques soutenues par la Russie que Microsoft a détectées au cours de l'année écoulée visaient des pays de l'OTAN ; 48% d'entre eux étaient destinés aux prestataires de services informatiques de ces pays.

Alors que la guerre en Ukraine a conduit la plupart des activités des groupes menaçants russes, d'autres facteurs ont alimenté une augmentation des attaques par des groupes parrainés par la Chine, la Corée du Nord et l'Iran. Les attaques de groupes iraniens, par exemple, se sont intensifiées à la suite d'un changement présidentiel dans le pays. 

Microsoft a déclaré avoir observé des groupes iraniens lancer des attaques destructrices d'effacement de disque en Israël ainsi que ce qu'il a décrit comme des opérations de piratage et de fuite contre des cibles aux États-Unis et dans l'UE. Une attaque en Israël a déclenché des signaux de roquettes d'urgence dans le pays tandis qu'une autre a cherché à effacer les données des systèmes d'une victime.

L'augmentation des attaques par des groupes nord-coréens a coïncidé avec une augmentation des essais de missiles dans le pays. De nombreuses attaques visaient à voler la technologie des entreprises aérospatiales et des chercheurs.

Des groupes en Chine, quant à eux, ont augmenté les attaques d'espionnage et de vol de données pour soutenir les efforts du pays pour exercer plus d'influence dans la région, a déclaré Microsoft. Bon nombre de leurs cibles comprenaient des organisations qui avaient accès à des informations que la Chine considérait comme d'une importance stratégique pour atteindre ses objectifs.

De la chaîne d'approvisionnement logicielle à la chaîne de fournisseurs de services informatiques

Les acteurs des États-nations ont ciblé les entreprises informatiques plus fortement que les autres secteurs au cours de la période. Les entreprises informatiques, telles que les fournisseurs de services cloud et les fournisseurs de services gérés, représentaient 22 % des organisations ciblées par ces groupes cette année. Parmi les autres secteurs fortement ciblés figuraient les groupes de réflexion plus traditionnels et les victimes des organisations non gouvernementales (17 %), l'éducation (14 %) et les agences gouvernementales (10 %).

En ciblant les fournisseurs de services informatiques, les attaques ont été conçues pour compromettre des centaines d'organisations à la fois en violant un seul fournisseur de confiance, a déclaré Microsoft. L'attaque de l'an dernier contre Kaseya, qui s'est soldée par ransomware finalement distribué à des milliers de clients en aval, en était un des premiers exemples. 

Il y en a eu plusieurs autres cette année, dont une en janvier au cours de laquelle un acteur soutenu par l'Iran a compromis un fournisseur de services cloud israélien pour tenter d'infiltrer les clients en aval de cette société. Dans un autre, un groupe basé au Liban appelé Polonium a eu accès à plusieurs organisations de défense et juridiques israéliennes via leurs fournisseurs de services cloud. 

Les attaques croissantes contre la chaîne d'approvisionnement des services informatiques ont représenté un changement par rapport à l'attention habituelle que les groupes d'États-nations avaient sur la chaîne d'approvisionnement des logiciels, a noté Microsoft.

Les mesures recommandées par Microsoft pour atténuer l'exposition à ces menaces incluent l'examen et l'audit des relations avec les fournisseurs de services en amont et en aval, la délégation de la responsabilité de la gestion des accès privilégiés et l'application de l'accès le moins privilégié si nécessaire. La société recommande également aux entreprises d'examiner l'accès pour les relations partenaires qui ne sont pas familières ou qui n'ont pas été auditées, d'activer la journalisation, d'examiner toutes les activités d'authentification pour les VPN et l'infrastructure d'accès à distance, et d'activer MFA pour tous les comptes.

Une légère augmentation des jours zéro

Une tendance notable observée par Microsoft est que les groupes d'États-nations dépensent des ressources importantes pour échapper aux protections de sécurité que les organisations ont mises en place pour se défendre contre les menaces sophistiquées. 

"Tout comme les entreprises, les adversaires ont commencé à utiliser les progrès de l'automatisation, de l'infrastructure cloud et des technologies d'accès à distance pour étendre leurs attaques contre un ensemble plus large de cibles", a déclaré Microsoft.

Les ajustements comprenaient de nouvelles façons d'exploiter rapidement les vulnérabilités non corrigées, des techniques étendues pour violer les entreprises et une utilisation accrue d'outils légitimes et de logiciels open source pour masquer les activités malveillantes. 

L'une des manifestations les plus troublantes de cette tendance est l'utilisation croissante par les acteurs des États-nations d'exploits de vulnérabilité zero-day dans leur chaîne d'attaque. Les recherches de Microsoft ont montré qu'entre janvier et juin de cette année, des correctifs ont été publiés pour 41 vulnérabilités zero-day entre juillet 2021 et juin 2022.

Selon Microsoft, les acteurs de la menace soutenus par la Chine ont récemment été particulièrement compétents pour trouver et découvrir des exploits zero-day. La société a attribué cette tendance à une nouvelle réglementation chinoise entrée en vigueur en septembre 2021 ; il oblige les organisations du pays à signaler toute vulnérabilité qu'elles découvrent à une autorité gouvernementale chinoise pour examen avant de divulguer l'information à quiconque.

Des exemples de menaces zero-day qui entrent dans cette catégorie incluent CVE-2021-35211, une faille d'exécution de code à distance dans le logiciel SolarWinds Serv-U qui a été largement exploitée avant d'être corrigée en juillet 2021 ; CVE-2021-40539, a vulnérabilité critique de contournement d'authentification dans Zoho ManageEngine ADSelfService Plus, corrigé en septembre dernier ; et CVE-2022-26134, une vulnérabilité dans Espaces de travail Atlassian Confluence qu'un acteur menaçant chinois exploitait activement avant qu'un correctif ne soit disponible en juin.

"Ce nouveau règlement pourrait permettre à des éléments du gouvernement chinois de stocker les vulnérabilités signalées en vue de les armer", a averti Microsoft, ajoutant que cela devrait être considéré comme une étape majeure dans l'utilisation des exploits zero-day en tant que priorité de l'État.

.