Note d’application

Mandiant a analysé plus de 200 vulnérabilités de type "Zero-Day" que les chercheurs ont identifiées comme exploitées entre 2012 et 2021. Mandiant considère qu’une faille Zero-Day est une vulnérabilité qui a été exploitée avant qu’un correctif ne soit rendu public. Mandiant a examiné les exploitations de type "Zero-Day" identifiées dans ses propres investigations/recherches, les conclusions des enquêtes publiques et en sources ouvertes, en se concentrant sur les failles "Zero-Day" exploitées par des groupes identifiés. Bien qu’on estime que ces sources soient fiables dans le cadre de cette analyse, nul ne peut confirmer les résultats de certaines d’entre elles. En raison de la découverte continue d’incidents passés par le biais d’enquêtes d’investigation numérique, les chercheurs Mandiant pensent que cette recherche tend à évoluer et pourra être complétée à l’avenir.

L’exploitation des failles Zero-Day atteint un niveau record en 2021

L’exploitation des failles Zero-Day a augmenté de 2012 à 2021, comme le montre la figure 1, et Mandiant Threat Intelligence s’attend à ce que le nombre de Zero-Day exploités par an continue de croître. Fin 2021, Mandiant a identifié 80 failles Zero-Day exploitées dans la nature, ce qui représente plus du double du précédent record de 32 en 2019.

Les chercheurs pensent qu’un certain nombre de facteurs contribuent à la croissance de la quantité de failles Zero-Day exploitées. Par exemple, l’évolution continue vers les technologies d’hébergement sur le Cloud, sur mobiles et depuis l’Internet des objets (IoT) augmente le volume et la complexité des systèmes et des appareils connectés à Internet - en clair, plus de logiciels entraîne plus de failles logicielles. L’expansion du marché des fournisseurs d’exploits contribue probablement aussi à cette croissance, avec davantage de ressources consacrées à la recherche et au développement de failles Zero-Day, tant par des entreprises et des chercheurs privés que par des groupes de menace. Enfin, l’amélioration des défenses permet probablement aux défenseurs de détecter davantage d’exploitations de type « Zero-Day » aujourd’hui qu’au cours des années précédentes, et un plus grand nombre d’organisations ont renforcé leurs protocoles de sécurité afin de réduire les compromissions par d’autres vecteurs.

Les groupes étatiques dominent toujours, mais l’exploitation des failles Zero-Day à des fins financières est également en hausse.

Les groupes d’espionnage sponsorisés par des états continuent d’être les principaux acteurs exploitant les failles Zero-Day, bien que la proportion d’acteurs à motivation financière déployant des exploits Zero-Day soit en augmentation (figure 2). De 2014 à 2018, Mandiant n’a observé qu’une faible proportion d’acteurs à motivation financière exploitant des failles Zero-Day, mais d’ici 2021, environ un tiers de tous les acteurs identifiés exploitant des failles Zero-Day avaient une motivation financière. Mandiant note également que de nouveaux groupes de menaces exploitent les failles Zero-Day, mais ne dispose pas encore d’informations suffisantes sur certains de ces groupes pour en évaluer la source.

Des groupes chinois sont systématiquement à la tête de l’exploitation des failles Zero-Day

Conformément à ses précédentes analyses, Mandiant a identifié le plus grand volume de failles Zero-Day exploitées par des groupes de cyberespionnage chinois présumés en 2021, et les acteurs de l’espionnage d’au moins la Russie et la Corée du Nord ont activement exploité des failles Zero-Day en 2021 (figure 3). De 2012 à 2021, la Chine a exploité plus de failles Zero-Day que toute autre nation. Cependant, Mandiant a observé une augmentation du nombre de nations susceptibles d’exploiter des failles Zero-Day, en particulier au cours des dernières années, et au moins 10 pays distincts ont probablement exploité des failles Zero-Day depuis 2012.

• De janvier à mars 2021, Mandiant a observé de multiples groupes d’activités d’espionnage chinois exploitant quatre failles Zero-Day des serveurs Exchange, collectivement connues sous le nom de failles ProxyLogon. Microsoft a décrit l’activité liée à cette campagne sous le nom de "Hafnium".
o Alors que certains des groupes de menaces impliqués semblaient sélectionner soigneusement les cibles, d’autres groupes ont compromis des dizaines de milliers de serveurs dans pratiquement tous les secteurs verticaux et toutes les régions.
o Les opérations de cyberespionnage chinoises en 2020 et 2021 suggèrent que Pékin n’est plus dissuadé par les déclarations officielles des gouvernements et les mises en accusation des pays victimes. En plus de la résurgence de groupes de cyberespionnage précédemment en sommeil et inculpés par le ministère américain de la Justice (DOJ), les groupes d’espionnage chinois sont devenus de plus en plus effrontés.

• Contrairement à ce qui s’est passé en 2016 et 2017, les chercheurs n’ont pas identifié de failles Zero-Day exploitées par APT28, sous-jacent au GRU russe, jusqu’à ce qu’il exploite probablement une faille Zero-Day dans Microsoft Excel à la fin de 2021. Cependant, des rapports de source ouverte ont indiqué que d’autres acteurs étatiques russes ont exploité plusieurs failles Zero-Day en 2020 et 2021, y compris au cours de l’activité probable du russe TEMP.Isotope qui a peut-être ciblé des réseaux d’infrastructures critiques avec une faille Zero-Day dans un produit de pare-feu Sophos.

Les fournisseurs tiers deviennent d’importants courtiers spécialisés dans l’exploitation.

Depuis fin 2017, Mandiant a noté une augmentation significative du nombre de failles Zero-Day exploitées par des groupes dont on sait ou dont on soupçonne qu’ils sont clients d’entreprises privées qui fournissent des outils et des services cybernétiques offensifs.

• Ils ont identifié au moins six failles Zero-Day activement exploitées en 2021, potentiellement par des clients de fournisseurs de logiciels malveillants, dont une qui aurait été exploitée dans des outils développés par deux fournisseurs distincts. En 2021, au moins cinq failles Zero-Day auraient été exploitées par un fournisseur commercial israélien.

Une exploitation de type "Zero-Day" liée à des opérations de ransomware

Depuis 2015, Mandiant a observé une forte baisse des vulnérabilités Zero-Day incluses dans les kits d’exploitation criminels, probablement en raison de plusieurs facteurs, notamment les arrestations d’éminents développeurs d’exploits. Cependant, à mesure que la clandestinité criminelle s’est fusionnée autour des opérations de ransomware, Mandiant a observé une hausse des infections de ransomware exploitant des vulnérabilités Zero-Day depuis 2019. Cette tendance peut indiquer que ces groupes de ransomware sophistiqués commencent à recruter ou à acheter les compétences requises pour exploiter des failles Zero-Day qui ont pu être développées auparavant pour des kits d’exploitation.

Mandiant a documenté une croissance significative des ransomwares, tant en termes de quantité que d’impact. Les profits substantiels ainsi que l’écosystème de plus en plus compartimenté, externalisé et professionnel qui soutient les ransomwares ont fourni aux opérateurs deux voies viables pour le développement et/ou l’acquisition d’exploits Zero-Day : les ressources financières et la sophistication des acteurs.

• Mandiant a observé au moins deux cas dans lesquels des acteurs de la menace distincts ont exploité des failles dans des appliances VPN distinctes pour obtenir un accès aux réseaux des victimes et déployer ensuite des ransomwares en 2021.

Les fournisseurs les plus populaires sont des cibles de choix pour l’exploitation des failles Zero-Day

Mandiant a analysé les failles Zero-Day de 12 fournisseurs distincts en 2021, les vulnérabilités des produits Microsoft, Apple et Google représentant 75 % du total des failles Zero-Day (figure 4), probablement en raison de la popularité de ces produits auprès des entreprises et des utilisateurs du monde entier. La menace que représente l’exploitation de ces grands fournisseurs reste importante, compte tenu de leur prévalence. En outre, ils ont constaté une variété croissante de fournisseurs ciblés, ce qui peut compliquer la hiérarchisation des correctifs et rendre la tâche plus difficile aux organisations qui ne peuvent plus se concentrer sur un ou deux fournisseurs en priorité.

• De 2012 à 2017, Adobe était le deuxième fournisseur le plus exploité, avec près de 20 % de toutes les failles Zero-Day exploitant uniquement Adobe Flash. Mandiant a observé une baisse significative de l’exploitation d’Adobe depuis lors, presque certainement alimentée par la fin de vie de Flash.

Perspectives

Mandiant estime que les campagnes importantes basées sur l’exploitation de failles Zero-Day sont de plus en plus accessibles à une plus grande variété d’acteurs étatiques et financièrement motivés, notamment en raison de la prolifération des vendeurs d’exploits et des opérations sophistiquées de ransomware développant potentiellement des exploits personnalisés. L’augmentation marquée de l’exploitation des failles Zero-Day, en particulier en 2021, élargit le portefeuille de risques des organisations dans presque tous les secteurs industriels et toutes les zones géographiques. Bien que l’exploitation ait atteint un pic en 2021, il semble que le rythme d’exploitation des nouvelles failles Zero-Day ait ralenti au cours du second semestre de l’année ; toutefois, l’exploitation des failles Zero-Day se produit toujours à un rythme élevé par rapport aux années précédentes.

Implications pour la priorisation des patchs

De nombreuses organisations continuent de lutter pour prioriser efficacement les correctifs afin de minimiser les risques d’exploitation. Les chercheurs Mandiant pensent qu’il est important pour les organisations d’élaborer une stratégie défensive qui donne la priorité aux types de menaces qui sont les plus susceptibles d’avoir un impact sur leur environnement et aux menaces qui pourraient causer le plus de dommages, en commençant par le nombre relativement faible de vulnérabilités activement exploitées. Lorsque les organisations ont une image claire du spectre des hackers, des familles de logiciels malveillants, des campagnes et des tactiques qui sont les plus pertinents pour leur organisation, elles peuvent prendre des décisions de priorisation plus nuancées lorsque ces menaces sont liées à l’exploitation active des vulnérabilités. Une vulnérabilité à faible risque qui est activement exploitée dans la nature contre votre organisation ou des organisations similaires a probablement un impact potentiel plus important pour vous qu’une vulnérabilité avec un classement plus élevé qui n’est pas activement exploitée. Une nouvelle directive de la CISA met l’accent sur les vulnérabilités qui seraient activement exploitées ; Mandiant pense que cela contribuera à améliorer la posture de sécurité et à renforcer les procédures de gestion des correctifs.

Alors que l’exploitation des failles Zero-Day se développe, les acteurs malveillants continuent également à exploiter les failles connues, souvent peu de temps après leur divulgation. Par conséquent, la sécurité peut être améliorée en continuant à intégrer les leçons tirées du ciblage passé et en comprenant la fenêtre standard entre la divulgation et l’exploitation. En outre, même si une organisation n’est pas en mesure d’appliquer les mesures d’atténuation avant que le ciblage ne se produise, cela peut néanmoins donner un aperçu supplémentaire de l’urgence avec laquelle ces systèmes doivent être corrigés. Les retards dans l’application des correctifs ne font qu’aggraver le risque qu’une organisation supportant des logiciels non corrigés ou non atténués soit affectée.

« Mieux connaitre les vulnérabilités exploitées permet aux entreprises de se focaliser sur les bonnes choses à faire. Ce challenge est international, à titre d’exemple l’ ANSSI en France a aussi publié un rapport sur les vulnérabilités les plus exploitées par les attaquants : https://www.cert.ssi.gouv.fr/uploads/ANSSI_top-10-edition-2022_NP_v1.0.4.pdf . Cette approche par l’intelligence et la connaissance est un élément différentiateur pour se protéger et monter en maturité cyber » confirme David Grout , CTO EMEA.