Au début de l'année, un groupe APT bien connu, surnommé LuckyMouse (alias Emissary Panda, APT27), a commencé à exploiter plusieurs vulnérabilités zero-day de Microsoft Exchange Server. Son objectif final? Le cyberespionnage de plusieurs réseaux gouvernementaux au Moyen-Orient et d'organisations plus larges en Asie centrale. Le groupe a utilisé cet accès au serveur de messagerie, ainsi que la compromission de Microsoft SharePoint, pour déployer une boîte à outils modulaire récemment mise à jour, connue sous le nom de SysUpdate. Comme l'explique ESET dans un nouveau rapport, elle a été conçue pour fournir des capacités malveillantes à la demande, tout en prenant grand soin de résister à l'analyse.

Si vous aviez le moindre doute sur l'ampleur de la cybermenace à laquelle sont confrontés les gouvernements mondiaux, ne cherchez plus. Heureusement, les entreprises de cybersécurité sont dans une position unique pour conseiller le secteur public. ESET a non seulement les compétences techniques requises pour soutenir la cyberdéfense, mais en tant que cible des acteurs de la menace sophistiquée, nous pouvons partager nos connaissances de première main sur ce qui fonctionne et ce qui ne fonctionne pas.

Une année remplie de premières

Cette campagne LuckyMouse, baptisée EmissarySoldier par ESET et menée pendant une grande partie de l'année 2020 et au début de l'année 2021, n'est que la partie émergée de l'iceberg. Cette année n'a pas été une année comme les autres, tant pour les gouvernements que pour le portrait général des menaces. Malheureusement pour les premiers, les événements survenus dans le second ont eu un impact majeur sur les consommateurs, les sociétés et les secteurs d'infrastructures critiques que les gouvernements sont censés gérer et protéger. À cet égard, la pandémie a peut-être distingué l'année 2020 de toutes les autres années précédentes. Mais les gouvernements devraient en prendre note : elle pourrait également annoncer beaucoup d'autres événements similaires dans les années à venir.

La pandémie a provoqué une nouvelle vague de transformation numérique dans le monde entier. Les investissements dans les infrastructures et les applications en nuage, les ordinateurs portables et les appareils de travail à distance, et bien d'autres choses encore, étaient absolument indispensables pour soutenir les fonctionnaires travaillant à domicile et les nouveaux services d'urgence. Au Royaume-Uni, les ministères ont fourni 69 nouveaux services numériques avant la fin mai 2020. Son programme phare de maintien dans l'emploi (Coronavirus Job Retention Scheme, CJRS) a été conçu, construit et lancé en moins de cinq semaines.

Pourtant, comme de nombreuses organisations, en développant leur infrastructure numérique, les gouvernements ont également élargi leur surface de cyberattaque. Celle-ci a été ciblée sans relâche par des acteurs de la menace opportunistes. Les travailleurs à domicile distraits ont été bombardés de tentatives d'hameçonnage, dont beaucoup s'appuyaient sur l'appétit insatiable pour les dernières nouvelles de COVID-19. L'infrastructure de travail à distance a été sondée à la recherche de vulnérabilités et détournée grâce à des identifiants de connexion à distance volés, hameçonnés ou piratés. Les équipes de sécurité ont dû faire face à leurs propres difficultés opérationnelles liées au travail à domicile.

De la cybercriminalité au cyberespionnage

Bon nombre des menaces auxquelles sont confrontés les gouvernements proviennent de groupes criminels organisés, qui sont de plus en plus disposés à collaborer pour atteindre un objectif commun. Il suffit de voir l'étroite coopération entre Trickbot (finalement démantelé lors d'une opération mondiale impliquant ESET), Emotet (également récemment démantelé) et des groupes de ransomware sophistiqués comme Ryuk qui utilisaient l'accès à un botnet pour cibler les organisations victimes. Malheureusement, les gouvernements et l'industrie ne sont pas toujours aussi disposés à collaborer sur le plan défensif.

L'autre source majeure de cybermenaces est bien sûr constituée par les acteurs étatiques, même si la frontière entre ces derniers et les cybercriminels traditionnels, motivés par l'argent, continue de s'estomper. Sentant une opportunité unique, des nations hostiles ont fait de leur mieux pour tirer parti des équipes informatiques gouvernementales, par ailleurs très actives, afin de promouvoir leurs objectifs géopolitiques. C'est notamment le cas de la tentative de vol de données sur le vaccin COVID-19 dans des pays rivaux.

La mauvaise nouvelle pour les gouvernements occidentaux est que les attaques de groupes tels que Gamaredon, Turla, Sandworm (et son sous-groupe suivi par ESET sous le nom de TeleBots) et XDSpy, continuent de porter leurs fruits. Outre l'utilisation de logiciels malveillants de base achetés dans la clandestinité cybercriminelle, ils continuent d'innover en interne, pour produire des éléments tels que Crutch, une porte dérobée Turla non documentée auparavant, découverte par ESET.

Montée en force des attaques de la chaîne d'approvisionnement

Les révélations sur la campagne SolarWinds comptent parmi les événements les plus troublants de ces derniers mois. Cependant, il ne s'agit que de l'une des séries d'attaques de la chaîne d'approvisionnement que nous avons détectées l'année dernière. Parmi les autres, citons le groupe Lazarus, qui déploie des modules complémentaires de sécurité piratés, Opération Stealthy Trident, qui vise des logiciels de chat spécifiques à une région, et Opération SignSight, qui a compromis une autorité de certification gouvernementale.

En fait, ESET a découvert autant de campagnes de chaînes d'approvisionnement au quatrième trimestre 2020 que l'ensemble du secteur de la sécurité en découvrait annuellement il y a quelques années. La menace de la chaîne d'approvisionnement s'est accrue à mesure que les gouvernements développent leur utilisation des services numériques pour rationaliser les processus et améliorer la prestation des services publics. Ils doivent saisir ce moment pour riposter, avec une stratégie de cybersécurité améliorée adaptée au monde post-pandémique.

Le futur est à nos portes

La question est de savoir par où commencer. En nous appuyant également sur notre propre expérience en tant que cible des acteurs de la menace, nous avons appris qu'une bonne base est vraiment le meilleur fondement pour sécuriser votre organisation. De nos jours, il faut commencer par savoir où se trouvent vos actifs clés - qu'il s'agisse d'un ordinateur portable de travail à domicile ou d'un serveur en nuage - et veiller à ce qu'ils soient protégés et correctement configurés à tout moment. L'application rapide de correctifs, les sauvegardes régulières, la protection des terminaux et l'accès « zéro confiance » pour tous les travailleurs à domicile devraient également faire partie des enjeux. Après tout, la main-d'œuvre distribuée est votre front le plus exposé dans la guerre contre la cybercriminalité.

Ensuite, suivez les normes internationales, telles que la norme ISO 27001, pour instaurer les meilleures pratiques en matière de gestion de la sécurité de l'information. Il s'agit d'un bon point de départ sur lequel vous pouvez vous appuyer pour vous aligner sur les principales exigences de conformité réglementaire. Vous vous demandez comment établir des priorités parmi tant d'activités de sécurité dans un environnement qui évolue si rapidement? Utilisez la gestion et la mesure des risques comme guide. Parmi les autres étapes essentielles, citons le « déplacement de la sécurité vers la gauche » dans votre cycle de développement logiciel (SDLC), afin d'accélérer la transformation numérique sans augmenter les cyberrisques.

L'année écoulée nous a ouvert les yeux à bien des égards. Mais il n'y a pas de retour en arrière possible pour les équipes informatiques des administrations. Le travail à distance et l'utilisation accrue du cloud et de l'infrastructure numérique sont la nouvelle réalité, tout comme les attaques criminelles sophistiquées et celles soutenues par des États. Il est temps de trouver une issue à la morosité ambiante, en utilisant les techniques de sécurité, les produits et la recherche de pointe les plus performants pour garder une longueur d'avance.