Le dernier rapport de Kaspersky sur les tendances concernant le paysage des menaces persistantes avancées (APT) révèle une activité APT intense au premier trimestre 2023, avec des campagnes en série attribuées aussi bien à des groupes bien établis qu’à de nouveaux acteurs jamais observés auparavant. Le rapport montre que, pendant cette période, les acteurs APT ont notamment amélioré leurs outils et étendu leurs vecteurs d’attaque, à la fois en termes de localisation géographique et d’industries ciblées.
Au cours des trois premiers mois de l’année 2023, les chercheurs de Kaspersky ont découvert de nouveaux outils, techniques et campagnes, lancés par des groupes APT lors de cyberattaques à travers le monde. Le rapport sur les tendances des APT est le fruit de la recherche interne de Kaspersky sur les menaces et leurs développements notables, ainsi que sur les cyberincidents que les chercheurs ont jugé important de divulguer publiquement.
Parmi les tendances mises en exergue dans le rapport, voilà un rapide panorama des plus importantes :
Nouvelles techniques et outils actualisés
Les acteurs APT recherchent en permanence de nouveaux moyens de mener leurs attaques à bien, tout en évitant d’être détectés. Au premier trimestre 2023, les chercheurs de Kaspersky ont constaté que des acteurs bien établis comme Turla, MuddyWater, Winnti, Lazarus et ScarCruft, tous actifs sur la scène APT depuis de nombreuses années, ne se reposent pas sur leurs lauriers et développent continuellement leurs ensembles d’outils. On peut citer Turla, qui a été repéré en train d’utiliser la porte dérobée TunnusSched, un outil relativement inhabituel pour ce groupe, qu’on savait par ailleurs exploité par Tomiris. Cet exemple démontre que les acteurs APT établis adaptent leurs tactiques et les font évoluer pour garder une longueur d’avance.
Des campagnes ont également été menées par des acteurs de la menace récemment découverts, à l’instar de Trila, qui cible des entités gouvernementales libanaises.
Les acteurs APT s’intéressent à un plus large éventail de secteurs d’activité
Les groupes APT ne se contentent plus d’attaquer uniquement leurs cibles traditionnelles que sont les institutions étatiques et les infrastructure critiques, et s’intéressent dorénavant à un plus grand nombre de secteurs : l’aviation, l’énergie, l’industrie, l’immobilier, la finance, les télécommunications, la recherche scientifique, les technologies de l’information ou encore les jeux vidéo… Les entreprises ciblées dans ces secteurs possèdent des quantités considérables de données qui répondent à des besoins stratégiques liés aux priorités nationales, ou qui permettent de créer des accès et des vecteurs supplémentaires pour faciliter les futures campagnes.
Expansion géographique
Les experts de Kaspersky ont également constaté que les acteurs avancés mènent à présent des attaques en Europe, aux États-Unis, au Moyen-Orient et dans diverses régions d’Asie. Alors que la plupart des acteurs ciblaient auparavant des victimes dans des pays spécifiques, de plus en plus d’APT ciblent désormais des victimes à l’échelle mondiale. Par exemple, MuddyWater, un acteur qui semblait auparavant prédisposé à cibler des entités du Moyen-Orient et d’Afrique du Nord, a étendu ses activités malveillantes à des organisations en Azerbaïdjan, en Arménie, en Malaisie et au Canada, en plus de ses victimes antérieures situées en Arabie saoudite, en Turquie, dans les Émirats arabes unis, en Égypte, en Jordanie, au Bahreïn et au Koweït.
« Alors que nous suivons les mêmes acteurs APT depuis des décennies, il est clair qu’ils se développent en continu, avec de nouvelles techniques et de nouveaux outils. En outre, l’émergence de nouveaux acteurs de la menace signifie que le paysage des APT évolue rapidement, en particulier en cette période de crise. Les organisations doivent rester vigilantes et s’assurer qu’elles disposent de renseignements sur les menaces fiables en temps et en heure, et des outils appropriés pour se défendre contre les menaces existantes et émergentes. En partageant nos découvertes et nos analyses, nous voulons permettre aux professionnels de la cybersécurité d’être prêts à faire face aux menaces les plus préoccupantes », commente David Emm, chercheur principal en sécurité au sein de l’équipe internationale de recherche et d’analyse (GReAT) de Kaspersky.
Pour se protéger des attaques ciblées mises en oeuvre par un acteur de la menace connu ou émergent, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
-
Mettez à jour le système d’exploitation Microsoft Windows ainsi que les autres logiciels tiers dès que possible, et faites-le régulièrement.
-
Mettez votre équipe de cybersécurité à niveau pour faire face aux dernières menaces ciblées grâce aux formations en ligne Kaspersky développées par les experts du GReAT.
-
Pour la détection au niveau des terminaux, l’investigation et la remédiation rapide des incidents, ayez recours à des solutions EDR.
-
En plus de l’adoption d’une protection essentielle des terminaux, il convient de mettre en œuvre une solution de sécurité d’entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce.
-
Comme de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale, proposez à vos équipes une formation de sensibilisation à la sécurité et enseignez leur des compétences pratiques.