Attaques de piratage parrainées par l'État : que sont les menaces persistantes avancées et qui ont-elles ciblé en 2022 ?

cyber attacks 2022

En 2022, il y a eu une augmentation marquée des cyberattaques parrainées par le gouvernement. Bon nombre de ces attaques ont été menées par ce que l'on appelle des menaces persistantes avancées ou APT. Ces groupes travaillent avec les gouvernements et peuvent également mener des activités illicites à but lucratif.

En 2022, des entités étrangères ont attaqué d'autres entités étrangères dans le cadre d'attaques DDoS, d'opérations d'espionnage, d'attaques de ransomwares et de violations contre des infrastructures critiques. Ces attaques ont provoqué des perturbations majeures de la chaîne d'approvisionnement, des milliards de dollars de dommages et collecté des volumes d'informations dans le cadre d'opérations d'espionnage.

Avec un œil sur ce à quoi le monde pourrait être confronté en 2023, voici 5 attaques APT dévastatrices qui ont eu lieu en 2022 :

Le chinois APT 41/Double Dragon vole 20 millions de dollars en fonds de secours COVID

En 2022, l'une des attaques APT les plus choquantes a été menée par un groupe connu sous le nom d' APT 41 ou Double Dragon . Ce groupe a réussi à voler environ 20 millions de dollars de fonds de secours COVID à plusieurs pays d'Asie et d'Afrique. L'attaque visait spécifiquement les banques, les agences gouvernementales et d'autres organisations qui distribuaient des fonds de secours pendant la pandémie. On pense que l'argent volé a été blanchi via des portefeuilles de crypto-monnaie, ce qui rend difficile sa traçabilité et sa récupération.

La déclaration des services secrets indique qu'APT41, actif depuis plus d'une décennie, est considéré comme un groupe chinois de cybermenaces parrainé par l'État, très compétent dans l'exécution de missions d'espionnage et de crimes financiers à des fins personnelles. Des cyber-experts et des responsables actuels et anciens de plusieurs agences ont identifié APT41 comme le "cheval de bataille" des opérations de cyberespionnage au profit du gouvernement chinois. Alors que les fonds de secours COVID sont apparus comme une cible d'opportunité en 2020, cette menace est devenue plus pertinente que jamais.

Le chaton rampant de l'Iran / APT DEV-0270 compromet le conseil de protection des systèmes de mérite des États-Unis

En novembre, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) et le Federal Bureau of Investigation (FBI) ont publié un avis conjoint sur la cybersécurité concernant les menaces persistantes avancées (APT) iraniennes. L'acteur de la menace, appelé Rampant Kitten , a exploité une vulnérabilité Log4Shell bien connue pour infiltrer un serveur VMware Horizon en février.

attaque de pirates informatiques en iran

Cela a abouti à la compromission d'un réseau fédéral appartenant au Merit Systems Protection Board des États-Unis. En réponse, la CISA a mis en garde toutes les organisations qui n'ont pas appliqué les mesures correctives Log4Shell contre les indicateurs potentiels de compromission. Le Washington Post a identifié l'agence concernée comme étant le US Merit Systems Protection Board. Ces types d'attaques soulignent la nécessité d'une vigilance continue et d'efforts proactifs de la part des entreprises et des gouvernements pour protéger les infrastructures critiques.

La crypto-monnaie du groupe nord-coréen Lazarus / APT38 Target

En avril, un avis conjoint sur la cybersécurité (CSA) publié par le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et le département du Trésor américain (Trésor) a mis en garde contre une cybermenace associée aux vols de crypto-monnaie par North Groupe de menace persistante avancée (APT) parrainé par l'État coréen connu sous le nom de Lazarus Group, APT38, BlueNoroff et Stardust Chollima.

Depuis au moins 2020, ce groupe cible les organisations de la technologie blockchain et de l'industrie de la crypto-monnaie telles que les échanges de crypto-monnaie, les protocoles DeFi, les jeux vidéo de crypto-monnaie play-to-earn, les fonds de capital-risque investissant dans la crypto-monnaie ou les individus détenant de grandes quantités de monnaie numérique. ou de précieux NFT.

Les attaquants ont utilisé l'ingénierie sociale via diverses plates-formes de communication pour persuader les victimes de télécharger des applications de crypto-monnaie trojanisées. Cela leur permet d'accéder à l'ordinateur de la victime, de propager des logiciels malveillants et de voler des clés privées ou d'exploiter d'autres failles de sécurité pour initier des transactions frauduleuses sur la chaîne de blocs.

Iranien APT MuddyWater/APT 34 cible le secteur public/privé en Asie, en Afrique, en Europe et en Amérique du Nord

En avril 2022, des cyberattaques parrainées par le gouvernement du groupe iranien de menace persistante avancée MuddyWater/APT 34 ont ciblé une série d'organisations gouvernementales et du secteur privé dans plusieurs secteurs en Asie, en Afrique, en Europe et en Amérique du Nord dans le cadre du ministère iranien du renseignement et de la sécurité. (MOIS).

Par la suite, en septembre 2020, le gouvernement fédéral américain a sanctionné le gouvernement iranien pour son soutien aux activités de cybercriminalité, qui, selon eux, sont menées via plusieurs groupes Advanced Persistent Threat (APT).

Plus précisément, le Bureau du contrôle des avoirs étrangers (OFAC) du Département du Trésor américain a désigné le ministère iranien du Renseignement et de la Sécurité (MOIS) comme « se livrant à des activités cybernétique contre les États-Unis et leurs alliés », depuis au moins 2007.

Les acteurs russes de l'APT ciblent les sous-traitants de la défense

De janvier 2020 au moins à février 2022, le Federal Bureau of Investigation (FBI) des États-Unis, la National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA) ont identifié un schéma régulier de cyberattaques contre les États-Unis. les entrepreneurs de défense agréés (CDC) provenant d' acteurs parrainés par l'État russe .

Ces attaques ont utilisé des tactiques courantes mais efficaces telles que le harponnage, la collecte d'informations d'identification, les techniques de pulvérisation par force brute/mot de passe et l'exploitation des vulnérabilités connues dans les comptes et les réseaux faiblement sécurisés. Les attaquants ont également ciblé les environnements Microsoft 365 (M365) avec une persistance maintenue en utilisant des informations d'identification légitimes et des logiciels malveillants pour l'exfiltration de données.

Les attaques ci-dessus ont causé des perturbations majeures et des milliards de dollars de dommages dans le monde entier. Elles ont été menées à la fois pour des raisons géopolitiques et pour un gain monétaire. Il est clair que les APT resteront une menace pour les années à venir et doivent être traitées de manière proactive afin que d'autres dommages puissent être minimisés par des entités des secteurs public et privé.​​​​​ ​​​​ ​​​​ ​​​​

December 7, 2022
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.