Panocrim 2023 : le cyberespace de l'Ukraine au Costa Rica

Entre rétrospective et perspectives, voici quelques morceaux choisis du Panorama de la cybercriminalité 2023 du Clusif.

« Un ransomware déclenche un état d’urgence national. » Ainsi nous étions-nous fait, en mai dernier, l’écho de la cyberattaque d’ampleur que le Costa Rica subissait alors depuis plusieurs semaines.

Le Clusif est revenu sur l’épisode lors de la présentation de son Panorama de la cybercriminalité (Panocrim) 2023. Il a, plus globalement, fait un point sur la menace ransomware, à partir de l’analyse de 623 incidents publics survenus au premier trimestre 2022.

Conti et LockBit sont, et de loin, ceux qui ont causé le plus d’incidents. Concernant les outils exploités pour les déployer, le Clusif mentionne BazarLoader, TrickBot, GoziAT et systembc RAT.

Apparu sur le devant de la scène cybercriminelle en 2020, Conti a surpris par son organisation rappelant celle d’une entreprise. On estime que son équipe a compté entre 60 et 100 personnes. Dont une quinzaine dédiées à la rétroingénierie et une demi-douzaine à la recherche. Le groupe aurait collecté au moins 180 M$ en 2021. Il a fait l’achat de licences d’outils (l’exploit Cobalt Strike pour 60 k$, par exemple) comme d’abonnements sur des sites russes de recrutement. Son « simili-démantèlement » est intervenu en mai 2022, après l’attaque contre le Costa Rica.

Ukraine-Russie : wipers et SCADA au menu de Panocrim

Avant l’épisode Costa Rica, il y avait eu, fin février, l’ouverture du conflit russo-ukrainien. Dans les semaines qui suivirent, on découvrit, entre autres, de multiples malwares destructeurs (HermeticWiper le 23 février, IsaacWiper le 1^er mars, CaddyWiper le 14 mars…). Lesquels allaient alimenter la cyberguerre, en particulier l’offensive contre KA-SAT.

Le 24 février, des dizaines de milliers de modems/routeurs reliés à ce réseau satellitaire cessèrent de fonctionner. Certains resteraient hors ligne pendant des semaines. Ils avaient été victimes d’AcidRain/CosmosWiper, un malware ELF MIPS.

Des vulnérabilités, il y en eut aussi dans l’autre camp. À ce sujet, Panocrim a fait référence à la société technologie Tekon. Mi-mars, un chercheur avait découvert une vulnérabilité dans des contrôleurs SCADA. À partir d’une authentification admin par défaut, il avait injecté un plug-in permettant de prendre le contrôle des équipements. Une vulnérabilité massivement exploitée pour bloquer des systèmes et afficher un message de soutien à l’Ukraine.

Au mois d’avril, il y eut une tentative d’attaque du réseau électrique ukrainien. Elle a impliqué les malwares CaddyWiper et Industroyer2. À la baguette, le groupe Sandworm.

TV5Monde, NotPetya… Les anciens sont toujours là

Ce dernier, également connu sous les noms de Voodoo Bear et Black Energy, existerait depuis 2009. On lui associe tout particulièrement NotPetya (2017). Il fait partie des « forces en présence » que liste Panocrim. En sont aussi, entre autres :

– APT28 (Fancy Bear, Strontium)
Actif depuis 2004. Impliqué dans les attaques contre TV5Monde et l’équipe de campagne d’Hillary Clinton.

– APT29 (Nobelium, Cozy Bear)
Actif depuis 2008. Cible réseaux gouvernementaux (Europe et OTAN), instituts de recherche et groupes de réflexion.

– Center 16 (Dragonfly, Energetic Bear, Berserk Bear)
Actif depuis 2010. Cible les entreprises de la défense et de l’aviation, ainsi que les entités gouvernementales et des secteurs d’infrastructures critiques.

– Centre 18 (Gamaredon, Primitive Bear, Actinium)
Actif depuis 2013. Cible militaires, ONG, système judiciaire, forces de l’ordre et organisations à but non lucratif en Ukraine.

Sur les 81 groupes actifs recensés au 28 novembre 2022, trente-six étaient pro-ukrainiens ; quarante, pro-russes.

Jeux olympiques et cryptographie post-quantique

Panocrim, c’est aussi des perspectives, parmi lesquelles les Jeux olympiques 2024. Quelques chiffres pour remettre l’événement en contexte :

10 500 athlètes olympiques, 4350 paralympiques
26 000 représentants de médias accrédités
45 000 volontaires
12 000 écrans sur site, 13 000 postes de travail
384 400 km de fibre optique, 7000 points d’accès Wi-Fi

En toile de fond, le souvenir de Tokyo 2020. Avant le début des Jeux, des données avaient filtré depuis la billetterie et le portail volontaires. Six ans plus tôt, à Sotchi, des centaines de sites russes avaient été défacés. À Pékin (2008), une fausse billetterie avait permis de voler des données bancaires.

Autre perspective évoquée dans Panocrim : la cryptographie post-quantique (PQC, post-quantum cryptography). En juillet 2022, à l’issue de six ans de procédure, le NIST a sélectionné quatre algorithmes à standardiser. Quelques semaines en amont, l’ANSSI avait émis un avis scientifique et technique. Elle y évoquait l’immaturité de la PQC et assurait qu’elle n’approuverait aucun remplacement direct à court ou moyen terme.

L’agence encourageait une transition graduelle. À l’horizon 2025, elle commencerait à délivrer des visas de sécurité « pré-quantique » et « post-quantique », avec hybridation obligatoire dans un premier temps.

Lire aussi : Benoît Fuzeau, Président du Clusif : « Dans la cybersécurité, le problème majeur c’est la diffusion de l’information »