Comme d’habitude à la fin de l’année, Kaspersky, un de nos partenaires en cybersécurité, a sorti sa boule de cristal pour illustrer les menaces persistantes avancées (APT) qui occuperont les CISO dans les mois à venir.
Il y a diverses options au menu, telles que les attaques à la supply chain, le spear-phishing dopé à la GenAI, les piratages des gouvernements ou encore le hacking en tant que service. Retour sur ces différentes tactiques dans cet article.
A quelles menaces persistantes avancées (APT) devons-nous nous attendre en 2024? Les prévisions annuelles de la société de cybersécurité russe Kaspersky ont dévoilé un certain nombre de tactiques très sophistiquées et inédites qui ont commencé à être observées ces derniers mois.
Spear-phishing et GenAI
Basés sur des solutions légales, les acteurs de la menace développent leurs propres chatbots dopés à la GenAI. Par exemple, WormGPT, un modèle de langage spécialement conçu pour les opérations malveillantes, aurait été basé sur le modèle de langage open-source GPTJ. Ces modèles (également appelés xxxGPT, WolfGPT, FraudGPT et DarkBERT) sont attrayants pour les attaquants car ils n’ont pas les limites de contenu des solutions légitimes. La production de messages de spear-phishing (hameçonnage ciblé) en grande quantité sera probablement facilitée par cette évolution. Ces messages servent souvent de point de départ à des attaques de type APT ou autres.
Attaques à la supply chain
Les pirates considèrent toujours les développeurs, les intégrateurs ou les éditeurs comme des intermédiaires (à leur insu). Les pirates informatiques malveillants les utilisent comme points d’entrée pour accéder à l’infrastructure et aux données de leurs cibles ultimes. L’exemple récent d’Okta, dont le service de support a été piraté, mettant en danger les données de nombreux clients, est mentionné par Kaspersky. Les motivations de ces attaques peuvent varier, allant du gain financier au cyber-espionnage, ce qui renforce la nature préoccupante de cette menace. Les analystes affirment que le célèbre groupe APT Lazarus a amélioré ses capacités d’attaque sur la chaîne d’approvisionnement.
Plus de menaces pour les systèmes MFT
Les logiciels de transfert de fichiers managés, ou MFT, sont devenus essentiels aux opérations commerciales car ils stockent une variété de données sensibles, telles que les dossiers financiers, les informations sur les clients et la propriété intellectuelle.
Cependant, les cybercriminels, en particulier les opérateurs de ransomware, les mettent également au centre de leur attention. Le gang Clop a rapidement exploité une faille dans la solution Moveit, qui pouvait être utilisée pour voler des données privées, perturber les opérations commerciales et exiger une rançon. Kaspersky pense que les menaces aux systèmes MFT devraient s’aggraver à l’avenir.
Les réseaux de botnets en pleine expansion
De nouveaux réseaux de botnets à grande échelle capables de lancer des attaques ciblées pourraient apparaître dans les mois à venir. Les analystes observent que ces réseaux de PC zombies sont intéressants pour les organisations Advanced Persistent Threat (APT) car il est difficile pour les cibles de déterminer l’identité et les motivations des attaquants.
Les appareils mobiles et les objets connectés sont de plus en plus ciblés
Les groupes de cyberpirates, hacktivistes et hackers travaillant pour des gouvernements pourraient continuer à exploiter des failles présentes dans divers appareils, spécialement pour les produits iOS. Mais également dans les appareils domotiques dits intelligents, tels que les objets connectés, qui manquent souvent de mises à jour et de configurations sécurisées.
Selon les chercheurs de Kaspersky, une méthode de diffusion des exploits « silencieuse » a été utilisée : des vulnérabilités ont été envoyées par iMessage et activées sans que l’utilisateur n’ait à intervenir.
Les rootkits de Kernel
En introduisant de nouvelles fonctions de sécurité telles que l’architecture Secure Kernel dans les dernières versions de Windows, Microsoft a tenté de réduire la prévalence des rootkits et des attaques de bas niveau. Cependant, ces mesures ne sont pas suffisantes pour empêcher les acteurs de la menace d’exécuter avec succès leurs logiciels malveillants dans le mode noyau des ordinateurs ciblés. Kaspersky prévoit que les certificats EV et les certificats de signature de code volés deviendront largement disponibles sur le darknet dans ce contexte.
Augmentation du nombre de piratages gouvernementaux
La dimension cybernétique est devenue un élément essentiel de tous les conflits. Il est prévu que cette tendance se développera, avec une augmentation des cyberattaques menées par des parties prenantes soutenues par un État. Ce n’est pas seulement les infrastructures essentielles, les agences gouvernementales et les forces armées mondiales qui devraient être touchées, mais aussi les entreprises de médias. L’espionnage à long terme, l’endommagement de l’infrastructure informatique et le vol de données seront les principaux objectifs des cyberpirates étatiques. Les chercheurs anticipent également une augmentation des efforts de cybersabotage.
Le hacktivisme et le deepfake
Un autre exemple d’utilisation de la technologie dans un contexte de conflit est le hacktivisme. Selon les prévisions de la société de cybersécurité russe, l’activisme axé sur la désinformation (entre autres grâce aux technologies de deepfake toujours plus accessibles) atteindra son apogée en 2024. Des attaques DDoS, le vol ou la destruction de données ou encore le vandalisme sur des sites Web peuvent également être utilisées.
Le Hacking dans le secteur des services
La multiplication probable des offres de piratage à la location (hack-for-hire) est une autre tendance en cybersécurité qui pourrait influencer les prochains mois. Ces services sont spécialisés dans le vol de données et la pénétration des systèmes. Ces cyber-mercenaires, comme DeathStalker, présentent leurs services de manière publique. Au lieu de fonctionner comme une APT traditionnelle, cette menace est dirigée et se concentre sur les cabinets d’avocats et les institutions financières, qui fournissent des services de piratage et servent de courtiers en informations.
