LMi MAG 10 Nov 2021 - Flipbook - Page 56
FOCUS
Cybersécurité
L’ATTRIBUTION
DES CYBERATTAQUES
DEVIENT PLUS DIFFICILE
Des chercheurs expliquent comment ils ont identifié - ou n’ont pas réussi à identifier les cyberpirates à l’origine de trois incidents très médiatisés et pourquoi
remonter jusqu’à leur identité est si délicate.
L
Cynthia Bluemfield, IDG NS (adapté par Serge Leblal)
a tâche déjà ardue d’attribuer une
attaque informatique à des cyberpirates est rendue plus difficile par
la nature changeante des groupes
de menace. Malgré tous les efforts
des chercheurs, certains attaquants
peuvent ne jamais être retrouvés.
Lors de la conférence VB2021 (Virus
Bulletin International Conference), qui s’est déroulée
en ligne les 7 et 8 octobre derniers, des analystes et des
chercheurs en cybersécurité ont parcouru les pistes suivies pour identifier les acteurs malveillants à l’origine
des attaques contre Colonial Pipeline, Sony Pictures et
le système ferroviaire iranien. Ces exemples montrent
pourquoi l’attribution des cyberattaques est compliquée
et parfois impossible.
mencé en 2013 à utiliser le malware Carbanak pour viser
les institutions financières avant de s’attaquer en 2015
aux restaurants et au secteur de l’hôtellerie avec un
malware ciblant les terminaux de points de vente (POS)
pour collecter les données des cartes de paiement. En
2016, Cobalt Spider s’est séparé de Carbon Spider pour
s’occuper des vols de données de cartes, tandis que Carbon Spider a continué à cibler les entités financières.
En avril 2020, la pandémie de Covid-19 a contraint le
groupe à effectuer un « pivot dramatique » en s’éloignant du vol de données de cartes, la crise ayant réduit
les transactions en personne. Les acteurs malveillants se
sont alors tournés vers des campagnes plus ambitieuses,
notamment des attaques par ransomware utilisant le
ransomware-as-a-service (RaaS) de REvil. Puis, en août
2020, Carbon Spider a réorienté ses efforts en matière
de ransomware vers son propre malware, DarkSide, que
De Carbanak à BlackMatter
le groupe a ensuite ouvert aux affiliés en tant que fournisseur de RaaS en novembre 2020. CrowdStrike n’a pas
Les chercheurs de CrowdStrike ont rapidement approattribué l’attaque Colonial Pipeline à Carbon Spider à
prié l’attaque du Colonial Pipeline en mai dernier à un
partir d’un seul point de données, mais en
groupe connu sous le nom de Carbon Spider,
comparant de nombreux incidents DarkSide
des cyberpirates probablement installés en
PRA / PCA – PLAN DE
Europe de l’Est ou en Russie. Mais comme REPRISE D’ACTIVITÉ IT à Carbon Spider. L’examen des tactiques,
techniques et procédures, ainsi que de l’util’ont expliqué Josh Reynolds, chercheur
Cahier des charges
lisation distinctive de l’outillage, de l’inprincipal en sécurité chez CrowdStrike, et
frastructure partagée et d’autres preuves
Eric Lou, analyste principal des renseigneforensiques a permis aux chercheurs de
ments chez CrowdStrike, lors de la confédésigner Carbon Spider comme le coupable
rence VB2021, le groupe n’a pas toujours été
de l’attaque du pipeline. Une semaine après
une menace avec un outil ransomware de
l’agression numérique du 8 mai, l’opération
type « big game ». Carbon Spider a comcutt.ly/PRA-PCA-Plan
56 / novembre 2021