Actu
FireEye publie un rapport révélant l’existence probable d’un marchand de cyber-armes
novembre 2013 par FireEye
FireEye, Inc., publie son dernier rapport Supply Chain Analysis : From Quartermaster to Sunshop. Celui-ci s’intéresse aux cyber-attaques apparemment sans rapport, qui pourraient faire partie d’une offensive plus large alimentée par un développement collaboratif et une infrastructure logistique commune. Un constat qui laisse penser que certaines cibles d’attaques sont confrontées à une menace bien plus organisée qu’ils ne l’imaginent.
« Nos recherches se sont concentrées sur la planification et le développement centralisé par un ou plusieurs auteurs de menaces avancées (APT) », explique Darien Kindlund, Directeur de la recherche sur les menaces chez FireEye. « Le malware reste clairement une cyber-arme de choix. Industrialiser son développement présente un réel intérêt économique pour les pirates. Ils peuvent ainsi mener des attaques de grande envergure tout en réalisant des économies d’échelle ».
Le rapport a examiné 11 campagnes APT ciblant une grande diversité d’industries. Bien qu’elles semblaient éloignées au premier abord, une analyse plus poussée a révélé plusieurs liens essentiels entre elles : elles utilisaient les mêmes outils de malwares, les mêmes éléments de code, les mêmes timings, et étaient signées avec des certificats numériques identiques.
Les deux principaux enseignements du rapport :
– Un développement et une logistique partagés : L’analyse des 11 campagnes APT a révélé un développement et un fonctionnement logistique commun pour plusieurs auteurs de campagnes APT. Cette tendance de développement et de diffusion est qualifiée de « quartier numérique ». Sa mission : fournir et assurer la maintenance des outils de malwares et autres armes dédiées au cyber-espionnage. Ce quartier numérique pourrait également être un puissant marchand de cyber-armes, distribuant des outils pour mener des attaques et établir des points d’ancrage dans les systèmes ciblés.
– Un outil de conception collaborative : les chercheurs de FireEye ont identifié un outil de développement utilisé dans plusieurs des 11 campagnes APT. Les dialogues ainsi que les options du menu de l’outil étaient en langage chinois, indiquant qu’il pourrait avoir été créé et utilisé par des sinophones.
« A l’image des conflits traditionnels, la cyber-guerre évolue en permanence grâce aux innovations technologiques », déclare David De Walt, PDG de FireEye. « Sans surprise, les pirates adoptent une approche industrialisée. La meilleure tactique de défense est communautaire. Elle permet non seulement de mener une veille technologique sur les dernières innovations en matière de cyber-attaques, mais aussi de partager les bonnes pratiques pour atténuer les nouvelles formes de menaces ».
