L’essor du reste du monde : Les groupes APT n’existent plus seulement en Chine et en Russie

0
70

Alors que la Russie et la Chine restent en tête de liste des cyber-adversaires les plus sophistiqués, FireEye a observé une augmentation du nombre de campagnes de cyber-espionnage parrainées par l’État dans d’autres pays.

Tribune par David GROUT, Director Technical – PreSales, South EMEA FireEye – C’est en mai 2017 que FireEye a annoncé pour la première fois qu’un groupe de menace avancée persistante (APT) était attribué à un pays autre que la Russie et la Chine : le Vietnam. Ce pays n’était auparavant pas considéré comme un acteur sophistiqué mais possède aujourd’hui un groupe connu sous le nom d’APT32.

Depuis, nous avons désigné des groupes de plusieurs autres pays en tant que menaces avancées persistantes. Le label APT signifie que nous avons une connaissance approfondie du cycle de développement de leurs attaques et nous sommes persuadés qu’ils sont associés au gouvernement d’un pays. Par exemple, nous avons analysé TEMP.Reaper, un groupe d’espionnage que nous suspectons de mener des activités pour le compte du gouvernement nord-coréen, pendant trois ans avant de le classer comme APT37 en février 2018.

La nature asymétrique de la cyberguerre est attrayante pour de nombreux pays émergents. L’amélioration des cyber-capacités est souvent plus rentable que d’autres mesures défensives ou offensives traditionnelles. De plus, ils n’ont rien à gagner en se tenant à l’écart de la course aux armements, car cela ne les empêche pas d’être ciblés.

Par exemple, le catalyseur de l’Iran pour l’amélioration de ses capacités informatiques a été la découverte en 2010 du ver Stuxnet, le premier malware découvert qui sabote les systèmes de contrôle industriel, qui a endommagé ses installations nucléaires.

Bien que l’Iran soit toujours à la traîne par rapport aux superpuissances informatiques mondiales en termes de sophistication, il a depuis fait du développement de ses capacités offensives contre les cyber-menaces une priorité élevée et considère les activités de cyber-menaces comme un exemple de la doctrine de guerre asymétrique de l’Iran.

Partout dans le monde, les nations accordent une grande importance à l’amélioration de leurs cyber-capacités et il y a de multiples façons de le faire comme se procurer des outils de cyber-surveillance. De plus, il existe de nombreuses communautés bien informées sur la cybercriminalité avec lesquelles les gouvernements peuvent collaborer ou exercer des pressions, et des personnes techniquement compétentes à la recherche d’un emploi peuvent être embauchées pour mettre au point des outils internes. L’APT32 du Vietnam, par exemple, utilise une suite unique et personnalisée de logiciels malveillants dotés de toutes les fonctionnalités ainsi que des outils disponibles sur le marché.

Les gouvernements ne limitent pas leur ciblage à d’autres gouvernements. FireEye a vu des cyber-acteurs parrainés par le gouvernement chercher à voler la propriété intellectuelle, à faire de l’espionnage économique dans le cadre d’affaires ou d’investissements internationaux, à surveiller opportunément les communications des cadres qui voyagent à l’intérieur du pays et à se pré-positionner sur les réseaux d’entreprises dans les pays non alliés susceptibles de causer des dommages en cas d’augmentation des tensions géopolitiques. Par conséquent, ni les organisations des secteurs publics et privé ne sont à l’abri des cyber-risques, et les capacités informatiques d’aucun pays ne peuvent être écartées en toute sécurité.