prévisions des menaces persistantes avancées que nous dit la...
TRANSCRIPT
![Page 1: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/1.jpg)
2015 Prévisions des menaces
persistantes avancées
Que nous dit la boule de cristal des APT ?
![Page 2: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/2.jpg)
► Global Research and Analysis Team, depuis 2008
► Leadership en veille, recherche et innovation en
matière de menaces
► Focus : APT, menaces sur les infrastructures
stratégiques et les banques, attaques ciblées
sophistiquées
GREAT : Unité d'élite de recherche sur les menaces
![Page 3: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/3.jpg)
Faits
Classification
Détection
Active
Duqu
Programme malveillant
de cyber-espionnage
Septembre 2011
Depuis 2010
• Cheval de Troie sophistiqué
• Agit comme une Backdoor dans un système
• Facilite le vol d'informations privées
Flame
Programme malveillant
de cyber-espionnage
Mai 2012
Depuis 2007
• Plus de 600 cibles spécifiques
• Peut se propager dans un réseau local ou via une clé USB
• Réalise des captures d'écran, enregistre l'activité audio, de saisie ainsi que le trafic réseau
Gauss
Programme malveillant
de cyber-espionnage
Juillet 2012
Depuis 2011
• Ensemble d'outils élaborés avec des modules exécutant un large éventail de fonctions
• La grande majorité des victimes se trouvaient au Liban
miniFlame
Programme malveillant
de cyber-espionnage
Octobre 2012
Depuis 2012
• Module de logiciel espion miniature mais complet
• Utilisé pour les attaques extrêmement ciblées
• Fonctionne en tant que programme malveillant autonome ou plug-in pour Flame
Red October
Attaque de cyber-
espionnage
Janvier 2013
Depuis 2007
• Une des premières attaques d'espionnage massives lancées à l'échelle mondiale
• Agences diplomatiques et gouvernementales ciblées
• Texte en langue russe dans les notes de code
NetTraveler
Séries d'attaques de
cyber-espionnage
Mai 2013
Depuis 2004
• 350 victimes de renom dans 40 pays
• Exploite les vulnérabilités connues
• Cible les entreprises privées, les établissements industriels et de recherche, les agences gouvernementales
Careto / The Mask
Attaque de cyber-espionnage
extrêmement sophistiquée
Février 2014
Depuis 2007
• Plus de 1 000 victimes dans 31 pays
• Ensemble d'outils complexes avec programmes malveillants, rootkit, bootkit
• Versions pour Windows, Mac OS X, Linux
• Considéré comme l'une des menaces persistantes avancées les plus sophistiquées
Menace
Découverte de menaces sophistiquées
![Page 4: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/4.jpg)
apt.securelist.com
Ce registre des cyber-
attaques ciblées répertorie
toutes les cyber-attaques
complexes ou menaces
persistantes avancées (APT
pour Advanced Persistent
Threats) qui ont fait l'objet
d'investigations de la part de
l'équipe Global Research and
Analysis Team.
![Page 5: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/5.jpg)
► Réduction du coût d'accès au marché
► Davantage de groupes d'APT
► Émergence de cyber-mercenaires
► Attaques contre les chaînes
d'approvisionnement
► Opérations de plus grande envergure
et frappes chirurgicales
► Attaques des infrastructures
stratégiques
► « Wipers », cyber-sabotage
Tendances 2014 des menaces persistantes avancées :
Prochaines étapes
![Page 6: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/6.jpg)
Prévisions des menaces persistantes avancées pour 2015
![Page 7: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/7.jpg)
Prévision : attaques visant
directement les banques,
pas leurs clients.
Fusion entre cyber-criminalité et menaces persistantes avancées
► Plusieurs banques ont été infiltrées à
l'aide de méthodes semblant tout droit
sorties d'un guide sur les menaces
persistantes avancées.
![Page 8: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/8.jpg)
Prévision : base d'attaque élargie
(davantage d'entreprises
touchées). Sources d'attaque plus
nombreuses pour les grandes
entreprises.
Fragmentation des grands groupes d'APT
Groupes d'APT récemment exposés :
MSUpdater/PutterPanda, APT1/Comment Crew, Energetic
Bear, Turla, Regin et NetTraveler, ce qui a conduit à la
fragmentation de ces groupes et à la création de nouveaux.
![Page 9: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/9.jpg)
► Davantage de programmes malveillants sont
mis à jour pour des systèmes 64 bits
► Y compris les rootkits
Prévision : plus d'implants
malveillants sophistiqués et de
techniques de contournement
avancées et systèmes de fichiers
virtuels plus souvent utilisés
Évolution des techniques malveillantes
► Plus de techniques persistantes avancées
► Persistance inter-plateforme
► Équipement réseau, appareils
intégrés, SCI
![Page 10: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/10.jpg)
Nouvelles méthodes d'exfiltration de données
![Page 11: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/11.jpg)
Prévision : davantage de groupes
utiliseront les services de cloud
pour une exfiltration encore plus
furtive et discrète.
Nouvelles méthodes d'exfiltration de données
► Compromission de sites Web
fiables
► WebDAV
► Requêtes DNS
► UDP
► ICMP
► …
► Cloud
![Page 12: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/12.jpg)
De nouveaux pays rejoignent la course au cyber-
armement
► Langues inhabituelles repérées
dans des APT : allemand, vieil
italien, espagnol, coréen, français,
arabe
Prévision : aucune attaque
persistante avancée utilisant le
suédois n'a encore été découverte,
mais de plus en plus de pays vont
s'engager dans la course au cyber-
armement et développer leurs
compétences en cyber-
espionnage.
![Page 13: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/13.jpg)
Prévision : avec une volonté accrue
des gouvernements de dénoncer
publiquement les cyber-criminels,
nous pensons que les groupes d'APT
vont ajuster leurs opérations en
conséquence et commencer à utiliser
de fausses bannières.
Utilisation de fausses bannières
► En 2014, nous avons observé plusieurs
opérations sous fausse bannière avec
utilisation de logiciels malveillants
« inactifs » habituellement utilisés par
d'autres groupes d'APT.
![Page 14: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/14.jpg)
Prévision : en 2015, nous prévoyons
la multiplication des APT ciblant les
appareils mobiles, en particulier les
systèmes Android et iOS débridés.
iPhone1,1 iPhone1,2 iPhone2,1
iPhone3,1 iPhone3,2 iPhone3,3
iPhone4,1 iPhone5,1 iPhone5,2
iPad1,1 iPad2,1 iPad2,2
iPad2,3 iPad2,4 iPad3,1
iPad3,2 iPad3,3 iPad3,4
iPad3,5 iPad3,6 iPhone
iPhone 3G iPhone 3GS iPhone 4
iPhone 4 iPhone 4 (cdma) iPhone 4s
iPhone 5 (gsm) iPhone 5 iPad
iPad2 (wifi) iPad2 (gsm) iPad2 (cdma)
iPad2 (wifi) iPad3 (wifi) iPad3 (gsm)
iPad3 iPad4 (wifi) iPad4 (gsm)
iPad4
Nouvelles attaques mobiles
![Page 15: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/15.jpg)
Prévision : en 2015, plusieurs autres
groupes devraient adopter cette
technique, mais elle restera hors de
portée de la grande majorité des
groupes d'APT.
Ciblage des réseaux d'hôtels
Les hôtels sont un excellent moyen de cibler
certaines catégories de personnes, telles que les
cadres d'entreprise.
![Page 16: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/16.jpg)
► En général, les groupes d'APT font attention à
rester discrets lors de leurs opérations
► En 2014, nous avons remarqué que deux
groupes d'APT (Animal Farm et Darkhotel)
utilisaient des botnets en plus de leurs
opérations ciblées habituelles
► En plus des opérations DDoS, les botnets
offrent un autre avantage : ce sont des
appareils de surveillance de masse à
moindres frais, prisés par les « pays pauvres »
► Flame et Gauss, que nous avons découverts
en 2012, servaient d'outils de surveillance de
masse
Prévision : en 2015, davantage de
groupes d'APT suivront la tendance
qui consiste à utiliser des attaques
précises en parallèle d'opérations
bruyantes et déploieront leurs
propres botnets.
APT+Botnet : surveillance de masse ciblée
![Page 17: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/17.jpg)
Attaque massive versus attaque ciblée : l'exemple de Darkhotel
![Page 18: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/18.jpg)
► Il est impossible de surveiller les
ventes de logiciels espions
► Tôt ou tard, ces logiciels dangereux
finissent entre les mains d'individus
ou d'États malintentionnés.
Prévision : le marché de la
surveillance légale étant un secteur à
haut rendement et faible risque, les
entreprises spécialisées dans ce
domaine vont se multiplier. Ces outils
seront utilisés tour à tour dans le
cadre d'opérations de cyber-
espionnage entre États, d'une
surveillance intérieure et peut-être
même de sabotage.
Commercialisation des menaces persistantes avancées
![Page 19: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/19.jpg)
Quelles
solutions ?
Comment
protéger votre
entreprise
contre les APT
en 2015 ?
![Page 20: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/20.jpg)
Connaissances sur les
menaces persistantes
avancées
Rapports de veille du GReAT Kaspersky Lab
sur les campagnes actives :
Services de formation à la Cyber-sécurité
Services d'analyse des programmes
malveillants
Flux d'informations sur les menaces/suivi
d'activité des botnets
Stratégie d'atténuation des APT :
veille + technologie
Technologies avancées
Kaspersky Security Network : réaction immédiate
contre les menaces les plus récentes
Prévention automatique des vulnérabilités dans les
solutions de protection Kaspersky Lab : blocage proactif
de l’exploitation des failles utilisé lors d'attaques ciblées.
Exemple 1 : la fonction AEP a détecté de manière
proactive les composants de l'attaque d'espionnage Red
October
Exemple 2 : la fonction AEP a bloqué de manière proactive
le composant CVE-2013-3906 utilisé lors d'attaques
ciblées
Liste blanche / Mode de blocage par défaut
![Page 21: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/21.jpg)
Conclusions
► 2014 a été une année plutôt sophistiquée et variée en termes
d'incidents APT
► Kaspersky Lab a découvert trois vulnérabilités zero-day en 2014
► A dévoilé plusieurs APT : The Mask/Careto, Darkhotel, Machete,
Epic Turla, Regin, Cloud Atlas
► Le qualificatif qui désignera 2015 est « insaisissable »
► Les groupes d'APT auront peur d'être exposés et prendront des
mesures plus évoluées pour rester dans l'ombre
► Opérations sous fausse bannière
![Page 22: Prévisions des menaces persistantes avancées Que nous dit la …go.kaspersky.com/rs/kaspersky1/images/Predictions-APT... · 2020-06-15 · Prévision : en 2015, nous prévoyons](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa64c95128bd2210f1271b8/html5/thumbnails/22.jpg)
Damien Billy
IT Security Consultant | Kaspersky Lab France
http://www.kaspersky.fr/entreprise-securite-it/
www.kaspersky.fr
#EnterpriseSec
Des questions ?