Le manuel de la cyberguerre 2024 : les astuces utilisées par les acteurs étatiques

Lucas Morel

Au-delà du manuel de jeu habituel, les acteurs des États-nations se sont appuyés en 2024 sur un mélange de tactiques avancées, notamment des portes dérobées sophistiquées et des LOTL furtifs, pour compromettre les systèmes critiques à des fins d’espionnage.

En 2024, la cyberactivité des États-nations était hors du commun, avec les acteurs chinois, russes et iraniens en tête. Leurs campagnes n’étaient pas seulement implacables : elles étaient innovantes, utilisant un mélange astucieux de tactiques, techniques et procédures (TTP) pour prendre pied, rester cachées et ressembler à des espions professionnels.

« Il y a eu une hausse continue et notable de l’activité des États-nations en 2024 », a déclaré Chris Hughes, chercheur en cyberinnovation à la Cybersecurity Infrastructure and Security Agency (CISA) du gouvernement américain. « Certaines des activités les plus importantes en 2024 concernaient les APT chinois, tels que Volt Typhoon et Salt Typhoon. »

Aucun TTP n’était à lui seul le principal acteur. Au lieu de cela, ils ont travaillé ensemble (souvent mutuellement inclusifs) comme des pièces de puzzle, chacune jouant un rôle dans l’ensemble. Un acteur, par exemple, pourrait déployer du spear phishing pour accéder, exploiter le zéro jour pour élever ses privilèges et utiliser des logiciels malveillants d’effacement pour brouiller les traces, le tout dans la même campagne.

Alors que ces acteurs ont mis en œuvre des stratégies complètes comportant de nombreux éléments mobiles, voici quelques TTP clés qui ont défini la cyberguerre des États-nations en 2024.

Backdooring des systèmes critiques pour des attaques sournoises

Dans une démarche typique, les attaquants des États-nations sont devenus extrêmement avisés, glissant souvent par des portes dérobées dans des systèmes critiques pour rester et frapper à nouveau plus tard. Parlant spécifiquement des délinquants américains, Hughes a déclaré : « Plutôt que d’être motivés par des raisons financières, ils étaient davantage concentrés sur l’espionnage et s’intégraient dans les infrastructures critiques américaines pour de futures attaques. »

Alors que la plupart des acteurs étatiques utilisent une certaine forme de persistance dans les systèmes compromis, ces campagnes se sont imposées comme les meilleurs exemples de tels efforts en 2024.

  1. Série salée de deux ans: Dans la « poursuite d’informations sensibles », le groupe chinois APT Salt Typhoon (alias Earth Estries, Ghost Emperor, Famous Sparrow ou UNC 2286) a été révélé en septembre comme ayant infiltré plusieurs fournisseurs de télécommunications américains, dont Verizon, Lumen Technologies, T- mobile et AT&T, et a établi sa persistance depuis au moins 2 ans en utilisant la porte dérobée modulaire GhostSpider dotée de la fonction de commande « battement de cœur » pour les communications périodiques.
  2. Une pêche chatouilleuse: Le groupe de hackers iranien Peach Sandstrom (également suivi sous le nom d’APT33) a été découvert en août comme étant actif depuis plus d’une décennie, se concentrant sur les secteurs d’infrastructures critiques, notamment l’industrie spatiale. Le groupe a introduit un nouveau malware de porte dérobée à plusieurs étapes nommé « Tickler », permettant l’accès à distance et la persistance au sein des réseaux des victimes après une compromission initiale via la pulvérisation de mots de passe ou l’ingénierie sociale.

Comme mentionné précédemment, il est important de noter que les portes dérobées utilisées pour la persistance faisaient souvent partie de configurations plus vastes incluant également des fonctionnalités d’exfiltration de données sensibles.

Lucky franchit les étapes critiques du zéro jour

Avant de pouvoir installer une porte dérobée pour des attaques persistantes et futures, les délinquants transfrontaliers devaient d’abord s’introduire dans ces systèmes. Pour ce faire, ils se sont appuyés sur toute une série de méthodes, les exploits zero-day se révélant les plus efficaces en 2024.

« CISA a récemment publié sa liste de vulnérabilités les plus exploitées et parmi celles-ci, plus de la moitié étaient des vulnérabilités de type zéro jour à l’époque, ce qui montre une légère augmentation des vulnérabilités de type jour zéro et a un impact sur les organisations avant même qu’elles ne se rendent compte qu’elles sont vulnérables ou qu’elles soient en mesure d’appliquer des correctifs de fournisseurs », a ajouté Hughes.

Voici quelques-uns des principaux abus du jour zéro commis par des acteurs étatiques en 2024 :

  1. Trou dans les pétroliers: Ces derniers mois, le groupe lié à l’Iran APT34 (également connu sous le nom d’OilRig et Earth Simnavaz) a ciblé les Émirats arabes unis et la région du Golfe en exploitant la faille d’élévation de privilèges Windows CVE-2024-30088 (CVSS 7/10). Cela leur a permis d’élever leurs privilèges, de déployer une porte dérobée et d’exfiltrer les données sensibles des serveurs Microsoft Exchange compromis, en utilisant l’outil ngrok pour les mouvements latéraux au sein des réseaux.
  2. Le fiasco de Fortinet: Les acteurs de la menace étatique, dont probablement Volt Typhoon, ont activement exploité une vulnérabilité critique dans FortiManager (CVE-2024-47575), qui avait un score CVSS de 9,8/10. La faille « authentification manquante pour une fonction critique » a permis aux attaquants d’exécuter du code arbitraire via des requêtes contrefaites. Aucun logiciel malveillant ni porte dérobée n’a été trouvé dans les systèmes compromis. Fortinet avait précédemment averti les utilisateurs de mettre à jour N-days contre les exploitations connues des États-nations.
  3. Duo Ivanti enchaîné: Début 2024, deux vulnérabilités Zero Day dans les produits VPN d’Ivanti, CVE-2023-46805 et CVE-2024-21887, ont été découvertes comme ayant été exploitées par des acteurs soutenus par l’État chinois pour une chaîne d’attaque. Ces failles permettaient l’exécution de code à distance, ce qui permettait aux attaquants de voler des configurations, de modifier des fichiers et d’établir des tunnels inverses. Les attaquants ont ciblé des secteurs critiques comme la santé et l’industrie manufacturière, en utilisant des techniques avancées pour se déplacer latéralement au sein des réseaux et accéder aux données sensibles.

Les crochets de phishing ont toujours cédé

Alors que les acteurs des États-nations adoraient les intrusions rapides, le phishing restait un plan B sournois. Il leur permettait de concevoir des plans sournois pour s’infiltrer dans les systèmes, prouvant que 2024 était l’année à la fois des frappes audacieuses et des escroqueries astucieuses.

Les acteurs de l’État-nation russe se sont largement appuyés sur le phishing en 2024, tandis que d’autres APT, comme des groupes iraniens et pakistanais, se sont également essayés à cette tactique. Voici quelques-unes des campagnes les plus remarquables de 2024 où le phishing était la méthode privilégiée pour l’accès initial.

  1. Blizzard d’attaques: Le groupe de piratage russe Midnight Blizzard (APT29), lié au SVR russe, a lancé une campagne de spear phishing ciblant des responsables américains, des universitaires ainsi que des secteurs de la défense et des ONG, a révélé Microsoft. Depuis le 22 octobre 2024, ils utilisent des fichiers RDP signés avec des certificats LetsEncrypt, déguisés en e-mails du personnel de Microsoft, faisant référence à AWS et Zero Trust. Cette tactique connectait les appareils des victimes à des serveurs contrôlés par des pirates informatiques, leur donnant accès aux ressources locales et à un contrôle persistant. Le CERT-UA et Amazon ont également signalé cette menace mondiale.
  2. Espionnage rival: Des auteurs de menaces pakistanais, identifiés sous le nom d’UTA0137, ont lancé une campagne de phishing ciblée contre les systèmes du gouvernement indien, en utilisant de faux formulaires DSOP (Defence Service Officer Provident Fund) pour diffuser des logiciels malveillants. La campagne a exploité le système d’exploitation BOSS personnalisé basé sur Linux, le malware DISGOMOJI utilisant des émojis Discord pour une communication furtive. Une fois à l’intérieur, le logiciel malveillant a exfiltré les données système sensibles, analysé les périphériques USB et exploité des vulnérabilités obsolètes telles que Dirty Pipe (CVE-2022-0847) pour une élévation de privilèges.
  3. Ingénierie sociale iranienne : Le groupe APT42, parrainé par l’État iranien et lié au CGRI-IO, a lancé des campagnes de phishing renforcées en mai, se faisant passer pour des journalistes et des organisateurs d’événements afin de cibler les ONG, les universitaires, les militants et les médias. En attirant les victimes vers des liens malveillants ou du matériel leurre, le groupe a récupéré les informations d’identification de fausses pages de connexion Microsoft, Google ou Yahoo, contournant l’authentification multifacteur via des sites Web clonés et des notifications push. Parallèlement au vol d’identifiants, ils ont déployé des portes dérobées personnalisées telles que TAMECAT et NICECURL via le phishing, permettant un accès flexible pour un espionnage ultérieur dans les environnements cloud.

Même si la collecte d’informations d’identification via des logiciels malveillants diffusés via le phishing était assez courante, les acteurs étatiques recouraient rarement à la récupération d’informations d’identification sur des forums de piratage ou sur des sites de suppression comme tactique principale. Lorsqu’on lui a demandé, Hughes a déclaré : « Je ne suis pas familier avec le fait qu’il s’agit du principal mode opératoire des APT, qui ciblent plutôt les appareils, les produits et les fournisseurs présentant des vulnérabilités et des erreurs de configuration, mais une fois à l’intérieur, ils compromettent les informations d’identification et les utilisent pour pivoter. se déplacer latéralement, persister dans des environnements et plus encore.

Ils évitent probablement de le faire car les informations d’identification sur les forums et les sites sont souvent périmées, partiellement compromises ou déjà examinées par les équipes de sécurité. S’appuyer sur eux pourrait compromettre la sophistication et la discrétion de leurs opérations.

Les logiciels malveillants ont toujours un succès

Alors que les portes dérobées assuraient la persistance à long terme de ces acteurs, les logiciels malveillants avancés ont généré des gains rapides, permettant des mouvements latéraux et des extractions rapides de données qui ont ébranlé les réseaux. Parmi les infractions les plus remarquables commises par un État-nation en matière de logiciels malveillants cette année, citons les suivantes.

  1. Charges utiles russes: APT29 a utilisé une gamme de logiciels malveillants avancés dans ses campagnes, notamment le dropper de logiciels malveillants ROOTSAW (ou EnvyScout) et une nouvelle variante nommée WINELOADER. ROOTSAW a fourni du JavaScript obscurci pour télécharger des charges utiles cryptées, tandis que WINELOADER a utilisé le chargement latéral de DLL pour des fonctionnalités furtives et modulaires. Ces outils ont fait preuve de personnalisation, s’éloignant des chargeurs plus anciens comme DONUT et DAVESHELL, et ont introduit des mécanismes de commande et de contrôle uniques. Un autre abuseur d’État-nation russe, Forest Blizzard (APT28), a été vu en train de déployer un nouveau malware GooseEgg pour le vol d’informations d’identification.
  2. Malware chinois: Des acteurs chinois comme Volt Typhoon et Salt Typhoon ont utilisé un mélange de logiciels malveillants pour leurs cyberattaques. Volt Typhoon s’est appuyé sur le botnet KV, qui détourne les routeurs des petits bureaux pour lancer des attaques DDoS et voler des données. D’autre part, Salt Typhoon a utilisé GhostSpider, un malware furtif qui cible les réseaux de télécommunications pour exfiltrer des informations sensibles telles que les enregistrements d’appels. Les deux groupes se sont concentrés sur les infrastructures critiques, montrant à quel point leurs tactiques sont devenues avancées.

Alors que les logiciels malveillants évoluent à une vitesse fulgurante en 2024, la CISA a décidé de faire connaître au public son outil Malware Next-Gen, permettant à toute personne disposant d’un compte login.gov de soumettre et d’analyser des fichiers suspects. Depuis novembre 2023, près de 400 utilisateurs ont envoyé plus de 1 600 fichiers, contribuant ainsi à détecter environ 200 fichiers malveillants.

L’outil Malware Next-Gen de CISA stimule la chasse aux menaces basée sur l’IA et aide les entreprises à se défendre contre les attaques connues et inconnues, a-t-elle ajouté.

Vivre hors de la terre

Ces acteurs ne s’intéressaient pas toujours aux logiciels malveillants tape-à-l’œil et personnalisés. Très souvent, ils ont utilisé des outils légitimes tels que PowerShell, des rootkits, RDP et d’autres fonctionnalités système disponibles dans le commerce pour se faufiler, rester indétectables et configurer un accès à long terme. Cela rendait leurs attaques furtives, persistantes et prêtes pour de futurs mouvements.

  1. Volt Typhoon : dans une campagne d’espionnage ciblée, l’acteur menaçant soutenu par la Chine a utilisé les techniques Living off the Land (LOTL) pour obtenir un accès non autorisé. En tirant parti d’outils système fiables tels que SSL VPN, l’acteur a pu mener des attaques d’exécution de code à distance (RCE) sur des infrastructures critiques, évitant ainsi la détection et maintenant la persistance.
  2. Utilisation iranienne : le groupe de cyberespionnage iranien APT34 (OilRig) a utilisé PowerShell pour exécuter du code malveillant lors d’attaques récentes dans les Émirats arabes unis et dans la région du Golfe. En exploitant une faille d’élévation de privilèges de Windows, ils ont obtenu l’accès, exfiltré les informations d’identification et utilisé des outils comme ngrok pour les déplacements latéraux au sein de réseaux compromis. PowerShell leur a permis d’exécuter des commandes et de transférer des fichiers sans être détectés.

Une étude Dragos du troisième trimestre 2024 a mis en évidence une augmentation de la cyberactivité, les acteurs malveillants exploitant les vulnérabilités des VPN et les informations d’identification volées pour infiltrer les systèmes critiques, en s’appuyant principalement sur des techniques de survie et d’évasion.

En plus de ces techniques, 2024 a vu l’utilisation de l’IA pour développer des outils de pénétration avancés et cibler les chaînes d’approvisionnement pour un mouvement latéral vers les systèmes critiques. Ajoutant à cela, Hughes a déclaré, « Nous avons constaté que les APT et les États-nations continuent de cibler la chaîne d’approvisionnement, avec une augmentation massive des packages malveillants dans la chaîne d’approvisionnement des logiciels open source (OSS), et cherchent à compromettre des projets et des packages largement utilisés. »