Kaspersky Lab a découvert plus tôt cette année une menace APT capable de créer de nouveaux outils pour chaque victime. Ce qui a mis de facto un terme aux « Indicators of Compromise » (IOC ou indicateurs de compromis) en tant que moyen fiable de détecter des infections. Il s’agit de l’une des prévisions pour 2017 formulées par les experts de la Global Research and Analysis Team (GReAT) de Kaspersky.
Ces prévisions sont établies chaque année et reposent sur de larges connaissances et une expertise éprouvée. La liste pour 2017 comprend notamment l’effet d’outils à usage unique faits sur mesure, l’utilisation croissante de tromperie quant à l’identité des attaquants, la vulnérabilité d’un monde connecté de façon aléatoire à l’Internet ainsi que l’utilisation de cyberattaques comme arme dans la guerre de l’information.
La fin des IOC
Les Indicators of Compromise (IOC) sont depuis longtemps une excellente manière de partager les caractéristiques de maliciels connus avec les systèmes de défense, afin qu’ils puissent reconnaître une infection active. La découverte de l’APT ProjectSauron par l’équipe GReAT de Kaspersky a changé la donne. L’analyse du groupe a mis en lumière une plate-forme de maliciels conçus sur mesure, dont toutes les fonctions sont adaptées à chaque victime. Du coup, les IOC ne sont plus fiables pour détecter d’autres victimes, à moins qu’ils ne s’accompagnent d’une autre mesure, comme de solides règles YARA.
L’apparition d’infections « superficielles »
En 2017, Kaspersky Lab s’attend également à l’apparition de maliciels logés dans la mémoire qui ne survivent pas au premier redémarrage, de sorte que l’infection disparaît de la mémoire de la machine. Destinés à des fins d’exploration générales et à la collecte de données d’accès, ces maliciels seront mis en œuvre dans des environnements très vulnérables par des attaquants secrets soucieux de ne pas susciter de méfiance ni d’être découverts.
« Ces évolutions sont préoccupantes parce qu’il devient ainsi nettement plus difficile pour de nombreuses parties de détecter des attaques au sein du réseau et sur les ordinateurs. C’est la raison pour laquelle nous et d’autres chercheurs ajoutons aux IOC des règles YARA. Avec ces dernières, les parties peuvent analyser leurs PC pour détecter la présence de maliciels sur les disques locaux et dans la mémoire de travail. De plus, la nécessité d’utiliser des solutions anti-maliciels avancées qui surveillent le comportement est désormais encore plus grande », indique Jornt van der Wiel, Security Researcher au sein de la Global Research and Analysis Team.
Autres prévisions principales en matière de menaces pour 2017
–Echec de la capacité d’imputation en raison de « false flags » : à présent que les cyberattaques vont jouer un plus grand rôle dans les relations internationales, leur attribution deviendra un thème central afin de déterminer l’action politique qui s’impose. La volonté d’identifier les auteurs pourrait mener au risque que davantage de criminels ne lancent sur le marché ouvert des outils d’infrastructures ou leurs propres outils, ou n’optent pour des maliciels open-source et commerciaux, sans parler de l’utilisation largement répandue de la tromperie (connue généralement sous la dénomination de « fausse bannière ») pour dissimuler l’attribution.
-L’avènement d’une guerre de l’information : en 2016, le monde a commencé à prendre au sérieux le partage d’informations piratées à des fins spécifiques. Les attaques de ce genre seront probablement en hausse en 2017. Le risque existe aussi que des attaquants essaient d’abuser de la disposition des personnes à accepter ces données comme un fait, à travers la manipulation ou la publication sélective d’informations.
-« Pirates vigilants »: Kaspersky Lab prévoit par ailleurs une augmentation du nombre de « pirates justiciers » qui, selon leurs propres dires, piratent et dévoilent des données dans un but à la portée plus grande.
-Vulnérabilité accrue au cybersabotage : des infrastructures et des systèmes de production critiques sont actuellement connectés en permanence à l’Internet, souvent avec peu, voire pas de protection. Du coup, la tentation est grande pour les cybercriminels de les endommager ou les perturber, surtout ceux aux aptitudes avancées et en ces temps de tensions géopolitiques accrues.
-L’espionnage devient mobile : Kaspersky Lab s’attend à plus de campagnes d’espionnage axées principalement sur des appareils mobiles et profitant du fait que le secteur de la sécurité puisse avoir du mal à obtenir l’accès complet à des systèmes d’exploitation mobiles pour réaliser ses analyses spécifiques.
-La « marchandisation » d’attaques financières : Kaspersky Lab s’attend à une « marchandisation » des attaques, du genre des attaques 2016 SWIFT en 2016 – où des moyens spécialisés avaient été proposés à la vente dans des forums interlopes ou via des règlements « as-a-service ».
-Atteinte contre des systèmes de paiement : à présent que les systèmes de paiement sont devenus de plus en plus populaires et répandus, Kaspersky Lab s’attend à ce que cette tendance aille de pair avec un intérêt accru de la part des criminels.
-L’effondrement de la « confiance » dans les rançongiciels : Kaspersky Lab s’attend également à une augmentation constante des rançongiciels, mais avec un préjudice de la relation de confiance improbable entre victime et attaquant (basée sur la supposition que le paiement mènera à la récupération des données). Cette tendance est causée par l’apparition d’une classe inférieure de criminels et elle peut constituer un tournant en ce qui concerne la disposition des victimes à payer.
-Des appareils de l’Internet des objets vulnérables dans un Internet saturé : alors que les fabricants d’appareils pour l’Internet des objets continuent de produire des appareils non sécurisés pouvant provoquer des problèmes à grande échelle, le risque existe que des pirates vigilants ne prennent les rênes en désactivant le plus possible d’appareils de ce genre.
-La force d’attraction criminelle de la publicité numérique : l’année prochaine, nous observerons une augmentation de l’utilisation d’outils de traçage et de ciblage (utilisés normalement à des fins publicitaires) pour surveiller les prétendus activistes et dissidents. De manière comparable, des réseaux publicitaires – qui offrent d’excellentes possibilités de profilage de cibles par le biais d’une combinaison d’adresses IP, d’empreintes digitales navigateur et de sélectivité de connexion – seront également utilisés par des acteurs avancés du cyberespionnage voulant toucher leurs cibles avec une précision extrême et en même temps protéger leurs tout nouveaux kits d’outils.
Source : Kaspersky Lab