La maturité des attaques ciblées contre les entreprises est montée d’un cran. « Un groupe de piratage a mené l’une des campagnes d’espionnage les plus prolifiques depuis l’APT1 en 2013, employant de nouvelles tactiques pour atteindre une large audience », a alerté PwC (Pricewaterhouse Coopers) lundi 3 avril. En collaboration avec BAE Systems et le National Cyber Security Centre (NCSC) britannique, la branche réseau du cabinet d’audit a découvert ce qu’il considère comme « l’une des plus importantes campagnes mondiales de cyber-espionnage jamais organisées ». Pas moins.
Les méthodes d’infection restent relativement classiques et s’appuient sur le spear-phishing, ou harponnage. Cette méthode de phishing ciblé fait appel à des techniques d’ingénierie sociale qui visent à tromper le destinataire d’un e-mail pour l’inciter à installer, à son insu, un malware ou visiter une page infectieuse, à partir desquels les pirates ouvrent une porte d’entrée sur le réseau. Objectif ici : prendre le contrôle des accès d’employés de prestataires Cloud, afin d’exploiter les canaux de communication existant entre les services managés de ces derniers et les serveurs des entreprises clientes. De la grande distribution aux technologies en passant par l’énergie, l’industrie manufacturière, le secteur public ou l’industrie pharmaceutique, tous les grands secteurs sont touchés par cette campagne.
PwC se garde de préciser les noms des fournisseurs de services managés touchés par les intrusions d’APT10. Les fournisseurs de services d’hébergement seraient particulièrement prisés du groupe de hackers identifié en 2009. Au total, « le groupe a exfiltré un grand volume de données provenant de plusieurs victimes et a utilisé des réseaux compromis pour déplacer furtivement ces données dans le monde entier ». Les entreprises d’Amérique du Nord, du Brésil, de France, de Suisse, du Royaume-Uni, du Nord de l’Europe, de la Corée du Sud, de l’Inde, de Thaïlande, d’Afrique du Sud ou encore d’Australie ont ainsi été la cible d’APT10, selon le rapport sur Cloud Hopper. Selon BAE, « il est impossible de dire aujourd’hui combien d’organisations pourraient avoir été impactées ». Si les chercheurs ont focalisé leurs travaux sur 2016, il est probable que les intrusions dans les systèmes des services managés aient débuté en 2014. Signalons qu’un certain nombre d’organisations japonaises, dont les noms ne sont pas précisés, ont également été visées au cours d’une seconde campagne d’attaques simultanée aux pénétrations des services Cloud.
Sans surprise, les attaques se poursuivent en 2017. « L’approche indirecte de cette attaque souligne la nécessité pour les organisations d’avoir une vision complète des menaces auxquelles elles sont exposées – y compris celles de leur chaîne d’approvisionnement, souligne Kris McConkey, consultant sécurité chez PwC. Les organisations du monde entier devrait travailler avec leurs équipes de sécurité et leurs fournisseurs pour surveiller les signes avant-coureurs de compromission de leur réseau et s’assurer qu’elles répondent et se protègent en conséquence. »
Lire également
Un groupe de pirates menace de réinitialiser 200 millions d’iPhone
2016, l’année des vols de données massifs
Comment la Russie crée des unités d’élite de pirates informatiques
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…