Sophos a récemment publié un rapport révélant les coulisses de cinq années de lutte contre des cyberattaques ciblées, orchestrées par des groupes de menaces persistantes avancées (APT) d’origine chinoise. Ce document, intitulé « Pacific Rim: Inside the Counter-Offensive—The TTPs Used to Neutralize China-Based Threats », expose les méthodes utilisées pour identifier, suivre, et contrer ces cybermenaces sophistiquées. Ce rapport est une contribution significative à la compréhension des cybermenaces internationales, détaillant comment Sophos a mis en œuvre des défenses robustes pour protéger ses infrastructures et, par extension, celles de ses clients.
Une opération de longue haleine contre des groupes APT chinois
L’enquête de Sophos s’est appuyée sur la collaboration avec divers acteurs de la cybersécurité, agences gouvernementales et organisations de sécurité pour surveiller, attribuer et contrer les attaques de plusieurs groupes APT chinois. Parmi ces groupes, certains sont bien connus, tels que Volt Typhoon, APT31 et APT41/Winnti, tous suspectés d’opérer sous la direction ou avec le soutien de l’État chinois.
Les motivations de ces groupes sont variées : espionnage, sabotage, vol de données sensibles, ou encore interférence économique. Le rapport explique comment ces acteurs malveillants ciblent des secteurs stratégiques comme l’énergie nucléaire, les télécommunications, et même des installations militaires dans la région Asie-Pacifique. L’objectif semble souvent être de collecter des renseignements et, dans certains cas, de préparer des actions de sabotage pour des scénarios de crise.
Des cibles stratégiques et des techniques en constante évolution
Les attaques documentées par Sophos montrent un raffinement constant des méthodes et outils utilisés par ces groupes APT. Alors que dans le passé, les attaques massives et bruyantes étaient fréquentes, on observe aujourd’hui une nette évolution vers des attaques discrètes, axées sur la furtivité et la persistance. Ces groupes utilisent des techniques avancées telles que le living-off-the-land, qui consiste à tirer parti d’outils et de processus déjà présents dans le système cible pour éviter la détection. Ils intègrent également des rootkits et des bootkits qui compliquent la détection, en contournant les systèmes de sécurité standards.
Sophos a notamment découvert des chevaux de Troie en mémoire et des versions expérimentales de bootkits UEFI qui permettent aux attaquants de rester actifs même après un redémarrage du système. Ces outils rares et extrêmement sophistiqués montrent à quel point ces groupes sont bien financés et déterminés.
Les méthodes utilisées par Sophos pour contrer ces attaques
Face à ces menaces, Sophos a déployé un éventail de contre-mesures pour identifier et stopper les tentatives d’intrusion. L’entreprise a mis en œuvre des systèmes de détection et de réponse avancés, adaptés à des attaques de plus en plus furtives. Parmi les outils et tactiques déployés, Sophos a utilisé des modèles de détection de comportement, la télémétrie en temps réel et une collaboration étroite avec des experts en sécurité pour analyser les incidents en profondeur.
Cependant, l’une des plus grandes difficultés rencontrées par Sophos a été la tentative des attaquants de saboter la collecte de télémétrie. En supprimant certaines données de surveillance, les APT ont rendu plus complexe la détection de leur présence, forçant Sophos à adapter en permanence ses mécanismes de défense. En retour, les efforts de Sophos ont permis de mettre à jour plusieurs TTPs spécifiques à ces groupes, offrant ainsi une meilleure capacité de détection à long terme.
Le rôle des exploits zero-day et des vulnérabilités connues
Le rapport met également en lumière l’utilisation par les groupes APT de vulnérabilités zero-day ainsi que de failles connues mais parfois non corrigées dans les pare-feux et autres dispositifs périphériques. Ce type d’exploitation est particulièrement efficace contre les réseaux mal protégés ou utilisant des technologies obsolètes.
Sophos conseille aux entreprises et organisations de durcir leurs dispositifs en suivant les guides de sécurité fournis par les vendeurs, de maintenir les correctifs automatiques activés, et de s’assurer que le matériel et les logiciels utilisés sont à jour et supportés par les mises à jour de sécurité. Les dispositifs en périphérie, souvent négligés, sont une cible de choix pour des acteurs bien équipés cherchant à établir des points d’entrée durables dans des infrastructures critiques.
Les conseils de Sophos pour protéger les infrastructures critiques
Sophos rappelle que la protection des réseaux repose sur une vigilance constante et sur l’adoption de pratiques de sécurité robustes. Dans le cadre de ses recommandations, Sophos encourage les entreprises à renforcer les dispositifs en périphérie par des stratégies de détection et de réponse adaptées aux attaques sophistiquées. Le rapport fournit également des indicateurs de compromission (IOC) pour aider les organisations à identifier d’éventuelles intrusions similaires.
Sophos met également en garde contre la tentation de négliger la sécurité des dispositifs en périphérie, tels que les pare-feux, qui peuvent servir à des attaquants de relais pour propager leurs attaques au sein des réseaux et de masquer leurs traces.
La cybersécurité à l’ère de l’état-nation : un défi global
La nature des attaques observées met en lumière un défi mondial : celui de la cybersécurité à l’ère de la compétition entre états. Les attaques parrainées par des états sont souvent plus sophistiquées et mieux financées, avec des objectifs stratégiques à long terme. Sophos rappelle que ces acteurs ne s’attaquent pas uniquement aux grandes organisations ou aux gouvernements. Dans un écosystème numérique interconnecté, même les petites entreprises peuvent être ciblées en tant que maillon de la chaîne d’approvisionnement, ce qui en fait une cible pour des attaques indirectes visant des infrastructures critiques.
Les dispositifs en périphérie peuvent servir de points d’entrée dans des réseaux autrement bien protégés, et le rapport de Sophos appelle à une sensibilisation accrue à cette réalité. Alors que le nombre de dispositifs IoT continue de croître, la sécurisation des pare-feux et autres dispositifs en périphérie devient une priorité pour prévenir des attaques de grande ampleur.
En première ligne de la Cybersécurité
La publication de ce rapport par Sophos met en lumière l’engagement de l’entreprise à se positionner en première ligne contre les cybermenaces de grande envergure. En partageant ses observations et en collaborant avec la communauté de la cybersécurité, Sophos contribue à renforcer la résilience face aux attaques soutenues par des États. Grâce à la transparence et au partage d’informations, Sophos offre aux entreprises et aux individus des outils concrets pour mieux comprendre et combattre ces menaces.
En conclusion, l’évolution des cybermenaces impose une adaptation continue des pratiques de sécurité. Sophos recommande une vigilance constante et un investissement dans des dispositifs de sécurité capables de détecter et de neutraliser des attaques sophistiquées. Pour rester protégé dans un contexte de cybermenaces en constante mutation, il est essentiel de ne pas négliger la sécurité des dispositifs en périphérie, d’appliquer les correctifs de sécurité en temps opportun, et de suivre les meilleures pratiques en matière de cybersécurité.
Sophos conclut son rapport en affirmant que, si la cybersécurité reste un défi complexe, la coopération entre les acteurs de la cybersécurité et le partage d’informations jouent un rôle crucial pour renforcer les défenses contre des menaces de plus en plus sophistiquées et ciblées.
Source
Sophos : Pacific Rim: Inside the Counter-Offensive—The TTPs Used to Neutralize China-Based Threats