in

Donner du sens aux groupes APT d’aujourd’hui

Au cours des derniers mois, la cyberactivité des États nationaux a connu une forte hausse. Récemment, nous avons appris que des pirates informatiques chinois ont volé des informations dans les centres espagnols travaillant sur les vaccins COVID-19. Le ministère américain de la justice a inculpé cinq ressortissants chinois et deux Malaisiens qui ont ciblé plus de 100 entreprises, organisations et individus dans 14 pays. Trois ressortissants iraniens ont été inculpés pour piratage de sociétés américaines de l’aérospatiale et des satellites, et APT39 a espionné des dissidents iraniens. Deux autres pirates informatiques iraniens ont également été inculpés pour avoir défiguré de nombreux sites web avec de la propagande pro-iranienne.

Cette recrudescence de l’activité de piratage informatique dans les États nations n’est pas un coup d’éclat mais une tendance perceptible. Les attaques attribuées aux groupes de menace avancée persistante (APT) soutenus par l’État-nation ont augmenté non seulement en termes de volume, mais aussi de portée et de sophistication. Le problème a été exacerbé en raison de la COVID-19 et de son impact sur l’économie mondiale et les relations internationales.

Les préoccupations relatives aux groupes de menace avancée persistante étaient autrefois un sujet de niche abordé principalement par les experts gouvernementaux en sécurité et l’industrie de la cybersécurité, mais elles ont maintenant atteint le grand public, comme le montrent les déclarations des responsables gouvernementaux américains, britanniques et occidentaux. Plus récemment, le ministre australien de la défense, Linda Reynolds, a fait une déclaration publique exprimant ses inquiétudes quant à l’augmentation, au cours des deux derniers mois, des cyberattaques malveillantes contre les entreprises et les agences gouvernementales australiennes de la part d’un acteur étatique, qui serait la Chine. De même, les attaques contre des cibles allemandes, anglaises et américaines privées, des entreprises et des gouvernements de l’ex-Union soviétique ont constitué et continueront de constituer une menace constante.

En outre, le rapport semestriel de SonicWall sur la cybermenace montre toujours des preuves évidentes de ces constatations, puisqu’il rassemble des données sur les menaces réelles provenant de plus de 1,1 million de capteurs situés dans plus de 215 pays et territoires. Ce qu’il serait intéressant de savoir, c’est si ces groupes d’APT se financent également avec des logiciels de rançon pour compléter les budgets de leur gouvernement. Nous avons vu cela avec la Corée du Nord, mais la situation n’est pas claire avec les groupes APT russes, iraniens et chinois.

Donner du sens à un monde chaotique

La lecture de tous ces titres peut être déroutante. Qui attaque qui, pourquoi et comment ? Décomposons les différentes activités de l’État-nation dans le cyberespace.

Sabotage – Le virtuel peut s’infiltrer dans le physique lorsque des nations utilisent des moyens informatiques pour endommager les systèmes informatiques ou les systèmes physiques d’autres nations. Les attaques contre les infrastructures critiques ont fortement augmenté ces deux dernières années. Parmi elles, une trêve entre Israël et l’Iran : une attaque iranienne sur l’infrastructure hydraulique israélienne a entraîné des représailles israéliennes contre le port de Shahid Rajaee, ce qui rappelle – si l’on a oublié Stuxnet – que les nations ne sont pas opposées au lancement de cyber-attaques avec une force destructrice sur ceux qu’elles perçoivent comme des ennemis.

Espionnage classique – Le bon vieil espionnage est une activité beaucoup plus courante que le sabotage. Les nations s’espionnent les unes les autres depuis toujours, mais aujourd’hui, une grande partie des anciennes activités d’espionnage sont menées dans le cyberespace. Le vol de données est plus facile, moins coûteux et relativement sans risque lorsque vous êtes derrière un clavier piratant un serveur situé dans un autre pays et protégé par les lois et les services de sécurité de votre propre gouvernement.

Influence politique mondiale – Les nations ont longtemps utilisé les opérations psychologiques pour prendre l’avantage sur d’autres pays, mais le cyberespace leur a donné les moyens de le faire à une échelle jamais imaginée auparavant. Les nations peuvent interférer dans les processus politiques d’autres pays avec peu de considération et une grande récompense. Par exemple, les acteurs des États nations qui se sont ingérés dans le référendum sur l’indépendance de l’Écosse, le référendum Brexit au Royaume-Uni et les élections américaines de 2016 et 2020 sont bien documentés.

Politique régionale – Les nations veulent également exercer leur force dans le cyberespace pour résoudre (ou intensifier) les conflits régionaux. Les cyber-attaques chinoises contre des entités indiennes ont fait suite à une escarmouche entre les deux nations dans la région montagneuse frontalière du Ladakh qui a fait des dizaines de victimes. Les services de sécurité ukrainiens ont rapporté en 2019 que l’APT Gamaredon, soutenu par la Russie, avait à plusieurs reprises pris pour cible des militaires, des forces de l’ordre et des individus ukrainiens. Gamaredon aurait lancé au moins 482 cyber-attaques contre des cibles ukrainiennes d’infrastructures critiques dans le cadre d’une campagne soutenue par la Russie visant à mener une guerre par procuration dans le cyberespace sans subir les retombées politiques d’une véritable campagne militaire sur le terrain.

Espionnage industriel – Contrairement à l’espionnage « classique », cette activité vise spécifiquement à combler le fossé économique entre les nations en volant la propriété intellectuelle, puis en l’utilisant soit pour copier et reproduire la technologie, soit pour obtenir d’autres avantages commerciaux déloyaux. La Chine a été largement accusée d’espionner les entreprises, les agences gouvernementales et les sociétés technologiques occidentales dans ce seul but. Par exemple, désirant construire son propre avion furtif, la superpuissance asiatique aurait volé la conception éprouvée du F-35 américain afin de raccourcir le développement et le « délai de commercialisation ». On estime que le vol de secrets commerciaux américains par la Chine coûte chaque année aux États-Unis entre 300 et 600 milliards de dollars.

Criminalité – Certaines nations sont soumises à un fardeau financier extrême, aggravé par les sanctions internationales, et ont donc recours à la cybercriminalité pour remplir leurs coffres. La Corée du Nord est connue pour utiliser la cybercriminalité à de telles fins, et a récemment lancé une nouvelle campagne visant à voler l’argent des banques et des distributeurs automatiques américains. D’autres campagnes de l’APT Lazarus ont porté sur le vol de cryptomonnaies et l’usurpation d’identité pour les échanges de cryptomonnaies. Contrairement à de nombreux autres APT, Lazarus écrit des logiciels malveillants qui ciblent également les utilisateurs de MacOS, car la plateforme d’Apple est de plus en plus utilisée par les cadres de C-suite et d’autres personnes qui se méfient de la pléthore de logiciels malveillants Windows.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.