Qui sont ces hackeurs qui nous attaquent ?

“Qui connaît l’autre et se connaît lui-même peut livrer cent batailles sans jamais être en péril. Qui ne connaît pas l’autre, mais se connaît lui-même, pour chaque victoire, connaîtra une défaite. Qui ne connaît ni l’autre ni lui-même perdra inéluctablement toutes les batailles.“ – Sun Tzu, l’Art de la guerre, 5e siècle av. J.-C.

Se préparer à défendre votre organisation contre des attaquants correctement identifiés est bien plus efficace et rentable que d’essayer de vous défendre contre l’inconnu. C’est pour cela que connaitre les hackeurs, leurs motivations et leur façon de procéder vous permettra de mieux vous protéger et, en cas d’attaque, de retrouver votre productivité plus rapidement.

Les types de hackeurs

Pour commencer, il est donc important de discerner les différents groupes de hackeurs et leurs motivations. Nous distinguons principalement six catégories :

Les hackeurs gouvernementaux (généralement nommé les APT pour « Advanced Persistent Threats ») sont financés, dirigés et parrainés par des gouvernements. Ils sont connus pour leurs détermination, persistance, moyens financiers et compétences techniques. Ils exécutent principalement des opérations de sabotage ou d’espionnage. Parmi les plus connus dans ce groupe nous trouvons :

  • L’Iran (APT39, 33, & 34), qui a attaqué Saudi Aramco en détruisant plus de 30’000 ordinateurs avec Shamoon
  • La Chine (APT1, APT3, APT10, APT12, APT16, APT17, APT18, APT19, APT30, APT40 & APT41) qui a espionné plus de 30 opérateurs téléphoniques afin de voler des informations sur leurs utilisateurs avec Soft Cell.
  • La Russie (APT28 & APT29) qui a interrompu l’alimentation électrique de Kiev la veille de Noël avec Industroyer.
  • Israël (Unit 8200) qui a espionné un nombre d’hôtels pour acquérir de l’intelligence sur les négociations nucléaires entre les États-Unis et l’Iran avec Duqu.
  • La Corée du Nord (APT37, APT38) qui a développé le ransomware WannaCry, infectant plus de 200’000 ordinateurs.
  • Et les États-Unis (Equation Group, NSA, APT-C-39) qui ont détruit des centrifugeuses iraniennes d’enrichissement d’uranium avec Stuxnet.

Le crime organisé, dont le but est le gain monétaire. Ils s’efforcent à rentabiliser leurs attaques et à optimiser leurs opérations. Généralement, ils effectuent des Arnaques au Président (usurpation d’identité afin d’exécuter des virements frauduleux), ransomware, vols financiers et ventes de données sur le darkweb.

Si vous êtes victime d’une cyber-attaque, il y a de fortes chances que son origine vienne du crime organisé. Ces criminels ont rapidement développé leurs capacités à s’enrichir illégalement via le monde en ligne. Actuellement, la cyber-criminalité leur rapporte plus d’argent que la prostitution, drogue et vente d’armes ! Ils sont donc très qualifiés, méthodiques et ont peu de scrupules – ils ont notamment visé des hôpitaux qui soignent les victimes du COVID-19.

Les script kiddies, n’ont ni les compétences ni le savoir-faire des « vrais » hackeurs. Ils ont tendance à réutiliser des attaques déjà existantes et s’en prennent à des cibles très faciles. Ils le font habituellement par défi personnel ou pour gagner un peu d’argent.

Généralement, les antivirus, firewall et antispam de base vous protégeront contre ce type d’attaque.

Les hacktivistes sont des activistes idéologiques avec des bonnes compétences, ayant souvent un emploi légitime dans le secteur digital ou cyber. Ils cherchent généralement à perturber un système ou voler des informations sensibles afin de les publier.

Malgré leur présente diminution d’activité, il ne faut surtout pas les négliger ; dans le passé, le groupe Anonymous s’en est pris à de nombreux gouvernements et multinationales, causant d’importants dommages réputationnels et économiques.

Les menaces internes sont malheureusement très courantes et difficiles à empêcher. Que ce soit de façon malveillante ou non, un employé ou un utilisateur peut utiliser ses accès et privilèges pour voler, modifier et détruire du contenu digital.

Dans la majorité des cas, nous voyons que les hackeurs sont motivés par la cupidité ou le désir de provoquer la destruction. Toutefois, lorsqu’on analyse nos adversaires, nous découvrons d’autres possible motivations, telles que la curiosité, le divertissement, le pouvoir, l’ego, l’idéologie, la reconnaissance et la vengeance. Il est donc important de comprendre ce qui motive votre adversaire ainsi que son objectif, afin de pouvoir vous défendre correctement.

Connaître son hackeur

Systématiquement, lorsque je suis appelé à intervenir suite à une cyber-attaque, l’une des premières questions que nous pose la victime est : « qui est le hackeur ?». Outre l’assouvissement de la curiosité de la victime, ce renseignement nous est très utile, car souvent il permet de comprendre les méthodes, procédures et intentions de l’attaquant. Par exemple, nous savons que le groupe de hackeurs derrière le ransomware Phobos vient d’Europe de l’Est et se nomme Derxan (aka Phobos777). Basés sur cette information, nous remarquons qu’à de nombreuses reprises, dans le passé, ce hackeur n’a pas délivré une clef de décryptage fonctionnelle, même après paiement de la rançon.

Ainsi, deux questions sont essentielles lors de la mise en place des stratégies de protection : qui sont les hackeurs susceptibles de pirater mon entreprise et quelles sont leurs méthodes opératoires. Ces deux questions sont fortement corrélées : en connaissant l’identité d’un hackeur nous pouvons déduire ses méthodes ; inversement, en détectant des méthodes d’attaque, nous pouvons souvent deviner qui est le hackeur.

TTP & IoC

Les (groupes de) hackeurs ne réinventent pas la roue à chacune de leurs attaques. Ils développent une expertise, des outils, une infrastructure, un savoir-faire et des méthodes pour mener un piratage qu’ils amortissent ensuite en le réutilisant. Si nous reprenons notre exemple du ransomware Phobos, nous savons que, dans la majorité des cas, il pénètre par des accès RDP (bureau à distance) achetés sur le dark/deep-web, qu’il efface les backups Windows, qu’il enlève les modes de récupération du système et enfin désactive le firewall. Grâce à ces informations, nous pouvons non seulement avoir une bonne idée sur les failles exploitées par les hackeurs, mais aussi sur leurs actions. Dans le cyber-jargon, nous parlons de TTP pour décrire leurs méthodes et IoC pour décrire les artefacts laissés lors de leur passage.

Les Indicateurs de Compromission (Indicator of Compromise), IoC, sont des éléments observés à la suite d’une attaque, tels des signatures de virus, adresses IP, hash de fichier, URL ou noms de domaines. Ces IoC peuvent aider à prévenir une attaque identique, détecter si un autre système a aussi été compromis et aider à faire des corrélations entre plusieurs incidents.

Les tactiques, techniques et procédures (TTP) expliquent comment les hackeurs orchestrent et opèrent leurs attaques. Les TTP sont donc des modèles d’activités ou de méthodes associées à des hackeurs spécifiques. Lorsque nous définissons quels sont les types ou groupes de hackeurs qui vous visent, nous pouvons analyser leurs TTP afin de mettre en place des outils et procédures spécifiques pour prévenir ces attaques.

L’inverse est aussi possible ; à la suite d’une attaque, nous analysons les TTP utilisées pour en déduire qui étaient les hackeurs et comprenons ainsi leurs motivations et intentions. Cette démarche est aussi très intéressante à mettre en place lorsqu’une attaque a été correctement bloquée, car ceci nous permet d’anticiper les éventuelles prochaines offensives menées par le même hackeur.

Alors, qui risque de m’attaquer ?

Nous sommes tous des cibles potentielles des hackeurs : Que ce soit par des script kiddies qui scannent les ordinateurs connectés à internet pour exploiter des vulnérabilités connues ou abuser des mots de passe faibles, ou par le crime organisé qui développe ses propres outils et procédures pour optimiser les attaques. Il faut donc mettre en place une sécurité proportionnelle à la valeur des données et de la dépendance au système informatique.

Les VIP, les personnes politiquement exposées (PEP), les leaders de leur industrie et les contracteurs gouvernementaux sont les cibles des APT et hacktivistes. Ainsi, ils doivent attentivement analyser les TTP des APT susceptibles de les viser, afin de correctement détecter, bloquer et répondre aux cyber-attaques.

Finalement, les menaces internes visent quasiment toutes les entreprises. Nous voyons souvent des employés mal sensibilisés et mal formés effectuer des erreurs causant des cyber-incidents. De l’autre côté du spectre, nous trouvons des employés malveillants : ces derniers sont le plus souvent des personnes insatisfaites de leur carrière professionnelle et souhaitant soit faire du mal à l’employeur, soit acquérir par leur action un gain personnel.

 

Stay informed with us!

You can subscribe to our montly cybersecurity newsletter to receive updates about us and the industry

Blog

Check the latest updates on threats, stories, events and analysis.

Cyberattacks on hospitals: a growing threat to the medical field – RTS

2024, a record-breaking year for ZENDATA Cybersecurity!

5 million payment card details stolen