Security Bulletin Kaspersky Lab :

PRÉDICTIONS DE NOS
CHERCHEURS POUR 2019
Vicente Diaz
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

TABLE DES MATIÈRES

Pas d'attaques APT d'envergure������������������������������������������������������������������������������������4

Matériel de mise en réseau et IoT��������������������������������������������������������������������������������5
Représailles publiques�������������������������������������������������������������������������������������������������������6
Émergence de nouveaux arrivants������������������������������������������������������������������������������ 7
Anneaux négatifs�����������������������������������������������������������������������������������������������������������������8
Vecteur d'infection favori�������������������������������������������������������������������������������������������������9
Destroyer destructeur������������������������������������������������������������������������������������������������������10
Chaîne d'approvisionnement avancée��������������������������������������������������������������������� 11
Appareils mobiles��������������������������������������������������������������������������������������������������������������12
Autres domaines����������������������������������������������������������������������������������������������������������������13

2
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

Rien n'est plus difficile que d'établir des prédictions. Nous n'allons pas consulter
une boule de cristal, mais plutôt formuler des estimations éclairées fondées
sur les événements récents et l'observation des tendances susceptibles d'être
exploitées dans les mois à venir. Pour cela, nous interrogerons les personnes les
plus intelligentes de notre entourage et baserons notre scénario sur les attaques
APT qui présentent traditionnellement les concepts les plus innovants en termes
de contournement de sécurité. Voici donc nos principales « prédictions » de ce
qui pourrait se produire dans les prochains mois.

3
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

PAS D'ATTAQUES APT D'ENVERGURE

Comment ? Est-il possible que, alors que l'on découvre chaque jour de nouveaux
acteurs, les attaques tendent à diminuer ?
En fait, l'industrie de la sécurité n’a cessé de mettre au jour des opérations très
sophistiquées, financées par les gouvernements et nécessitant des années de
préparation. Du point de vue de l'attaquant, il semble logique de répondre à
cette situation en explorant de nouvelles techniques encore plus sophistiquées
et beaucoup plus difficiles à détecter et à attribuer à des acteurs spécifiques.
Il existe de nombreuses manières différentes d’y parvenir. Il suffit de comprendre
les techniques utilisées par l'industrie pour attribuer et identifier les similarités
entre différentes attaques et les artefacts utilisés, ce qui ne semble pas être un
grand secret. Avec des ressources suffisantes, la solution la plus simple pour un
attaquant serait de maintenir différents ensembles d'activités qui sont très difficiles
à associer à un acteur ou à une opération spécifiques. Les attaquants disposant
de telles ressources pourraient alors lancer de nouvelles opérations novatrices,
tout en continuant à exploiter leurs attaques existantes. Il existe bien sûr un risque
que les anciennes attaques soient découvertes, mais les nouvelles opérations
seraient plus difficiles à détecter.
Au lieu de créer des campagnes plus sophistiquées, il semble plus efficace, pour
certains acteurs spécifiques qui ont la capacité de le faire, de cibler directement
l'infrastructure et les entreprises où se trouvent les victimes, tels que les fournisseurs
d'accès à Internet (FAI). Les attaques peuvent parfois être réalisées grâce à la
régulation, sans passer par des programmes malveillants.
Certaines opérations sont simplement externalisées à différents groupes et
entreprises utilisant des techniques et outils différents, ce qui rend l'attribution
de l'attaque extrêmement difficile. Il faut toujours garder à l'esprit que, dans le
cas d'opérations financées par le gouvernement, cette «  centrifugation  » des
ressources et des talents peut influer sur l'avenir des campagnes de sécurité. Les
outils et capacités techniques sont dans ce cas détenus par le secteur privé, et
ils sont proposés à la vente à des clients qui ne comprennent généralement pas
tous les détails techniques et les conséquences de ces outils.
Tout cela amène à penser qu’il y a peu de chance de découvrir de nouvelles
menaces très sophistiquées. Les attaquants disposant des ressources suffisantes
sont plus susceptibles de se tourner vers de nouveaux paradigmes.

4
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

MATÉRIEL DE MISE EN RÉSEAU ET IOT

Il semble logique de penser que chaque acteur va à un moment donné déployer

des capacités et des outils conçus pour cibler le matériel de mise en réseau. Les
campagnes comme VPNFilter démontrent parfaitement que les attaquants ont
déjà commencé à déployer leurs logiciels malveillants pour créer un « botnet »
multifonction. Dans ce cas particulier, même au moment où le logiciel malveillant
était largement répandu, il a fallu un certain temps pour détecter l'attaque, ce
qui est préoccupant compte tenu de ce qui pourrait se passer lors d’opérations
plus ciblées.
Les acteurs bien pourvus en ressources pourraient aller encore plus loin : pourquoi
ne pas cibler directement une infrastructure encore plus élémentaire plutôt que
de se concentrer uniquement sur une entreprise cible ? Nous n'avons pas atteint
ce niveau de compromission (à notre connaissance), mais les exemples passés
(comme Regin) montrent clairement que ce niveau de contrôle est très tentant
pour les attaquants.
Les vulnérabilités du matériel de mise réseau peuvent permettre aux attaquants
de suivre différentes directions. Ils peuvent opter pour une menace massive de
style botnet et utiliser ce réseau dans l'avenir pour différents objectifs, ou ils
peuvent viser des cibles choisies pour des attaques plus clandestines. Avec cette
seconde option, on peut envisager des attaques sans programmes malveillants,
basées sur l'ouverture d'un tunnel VPN pour refléter ou rediriger le trafic afin de
fournir toutes les informations nécessaires à l’attaquant.
Tous ces éléments de mise en réseau peuvent également être intégrés au puissant
IoT, dans lequel les botnets ne cessent de se développer à un rythme effréné. Mis
entre de mauvaises mains, ces botnets peuvent être redoutables lorsqu'il s'agit
de perturber des infrastructures critiques, par exemple. Ils peuvent être exploités
par des acteurs bien équipés, utilisant éventuellement un groupe de couverture,
ou dans certains types d'attentats terroristes.
Ces botnets polyvalents peuvent également être utilisés sur une fréquence
de faible portée pour des communications malveillantes, évitant les outils de
surveillance en contournant les canaux d'exfiltration classiques.
On ne le répétera jamais assez : il ne faut pas sous-estimer les botnets de l’IoT,
car ils se renforcent de jour en jour.

5
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

REPRÉSAILLES PUBLIQUES

L'un des sujets les plus importants en termes de diplomatie et de géopolitique est
la question du traitement des cyberattaques actives. La réponse n'est pas simple et
dépend fortement des conséquences et de la violence de l'attaque, entre autres.
Les attaques sont davantage prises au sérieux depuis les événements comme le
piratage du Comité national démocrate (Democratic National Committee).
Les enquêtes sur les récentes attaques très sophistiquées, telles que le piratage
de Sony Entertainment Network ou l'attaque du DNC, ont permis d’établir une
liste de suspects mis en accusation. Des procès ont pu être mis en place et ont
dévoilé au public qui se cachait derrière ces attaques. Ces enquêtes servent à
créer une vague d'opinion constituant un argument en cas de conséquences
diplomatiques plus graves.
La Russie a ainsi souffert des conséquences de sa présumée ingérence dans
les processus démocratiques. Cela pourrait pousser les autres à repenser leurs
futures opérations de ce type.
Toutefois, la peur de ces conséquences avérées ou éventuelles représente le
principal succès des cybercriminels. Ils peuvent maintenant exploiter cette peur,
cette incertitude et ces doutes de façon plus subtile, comme nous l’ont montré
des opérations de grande envergure telles que celle du groupe de hackers
Shadowbrokers. D'autres opérations de ce type sont à prévoir.
À quoi devrons-nous faire face dans l'avenir  ? Les opérations passées ont
probablement juste servi de tests. Nous pensons que ce n’est qu’un début et que
des abus de toutes sortes vont voir le jour, comme par exemple des incidents de
fausses bannières tels que la menace Olympic Destroyer pour laquelle il n'apparaît
pas encore clairement quel était l'objectif final et comment cela s’est produit.

6
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

ÉMERGENCE DE NOUVEAUX ARRIVANTS

Pour simplifier, le monde des attaques APT semble se scinder en deux groupes :
les acteurs traditionnels les plus expérimentés, bien équipés en ressources (qui
sont selon nous amenés à disparaître) et un groupe dynamique de nouveaux
arrivants qui souhaitent entrer en jeu.
Les barrières à l'entrée n'ont jamais été aussi faibles, avec des centaines d'outils
très efficaces et des infrastructures et des vulnérabilités repensés de toutes sortes
à la disposition de tous. De plus, ces outils rendent presque impossible l'attribution
à des acteurs spécifiques et peuvent être facilement personnalisés si besoin.
Ces groupes se sont installés dans deux principales régions  : l’Asie du Sud-Est
et le Moyen-Orient. Nous avons observé une progression rapide des groupes
potentiellement basés dans ces régions. Ces groupes s'introduisent dans l'ingénierie
sociale de cibles locales, exploitant des victimes peu protégées et profitant de
l'absence d'une culture de la sécurité. Toutefois, à mesure que les cibles renforcent
leurs défenses, les attaquants font de même et développent leurs capacités
offensives, ce qui leur permet d'étendre leurs activités à d'autres régions, au fil
de l’amélioration du niveau technique de leurs outils. Dans ce scénario d’outils
basés sur des scripts, nous retrouvons également des entreprises émergentes
fournissant des services régionaux qui, malgré les défaillances de la méthode
OPSEC, continuent d'améliorer leurs opérations.
Il serait intéressant d’examiner sous un angle plus technique la façon dont les outils
de post-exploitation de JavaScript pourraient trouver de nouvelles perspectives à
court terme, étant donné la difficulté de la limitation de ses fonctionnalités par un
administrateur (par opposition à PowerShell), son manque de journaux système
et sa capacité à s'exécuter sur d'anciens systèmes d'exploitation.

7
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

ANNEAUX NÉGATIFS

Les failles de sécurité Meltdown/Specter/AMDFlaws et les vulnérabilités associées

(et celles à venir) nous ont poussé à réétudier la localisation des programmes
malveillants les plus dangereux. Si nous n'avons encore jamais constaté de
programmes exploitant des vulnérabilités en dessous de l'anneau  0, la seule
possibilité de leur existence est réellement terrifiante, car ils seraient invisibles
pour la plupart des mécanismes de sécurité à notre disposition.
Par exemple, dans le cas de la fonction SMM, au moins une évaluation de faisabilité
(PoC) est disponible publiquement depuis 2015. SMM est une fonctionnalité
de processeur qui peut effectivement fournir un accès complet à distance à
un ordinateur, sans même autoriser les processus de l'anneau  0 à accéder à
son espace mémoire. Nous pouvons alors nous demander si le fait que nous
n'ayons trouvé aucun programme malveillant jusqu'ici s’explique tout simplement
par la trop grande difficulté à les détecter. L’exploitation de cette fonctionnalité
semble être une opportunité trop bonne pour être ignorée, nous sommes donc
convaincus que plusieurs groupes tentent d'utiliser ces mécanismes depuis des
années, peut-être avec succès.
Nous avons observé une situation similaire avec le programme malveillant de
virtualisation/hyperviseur ou le programme malveillant de l’UEFI. Des PoC existent
pour ces deux programmes et HackingTeam a même révélé un module de
persistance UEFI disponible depuis au moins 2014, mais encore une fois aucun
véritable exemple de menace ITW n'a été identifié.
Trouverons-nous un jour ce type de programme indétectable ? N'ont-ils simplement
pas encore été exploités ? Cette dernière possibilité semble peu probable.

8
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

VECTEUR D'INFECTION FAVORI

La prévision la moins surprenante concerne les attaques par phishing ciblé. Nous
pensons que ce vecteur d'infection, le plus performant, prendra encore plus
d’importance dans un avenir proche. La clé de son succès réside dans sa capacité
à susciter la curiosité des victimes. Les récentes fuites massives de données
des diverses plateformes de réseaux sociaux pourraient aider les attaquants à
améliorer cette approche.
Les données obtenues à partir des attaques des principaux réseaux sociaux comme
Facebook et Instagram, ainsi que LinkedIn et Twitter, sont désormais disponibles
à l’achat sur le marché. Dans certains cas, le genre de données ciblées par les
cybercriminels reste indéfini, mais elles pourraient inclure des messages privés
ou même des informations d'identification. Ces données représentent un trésor
pour l'ingénierie sociale. Certains attaquants pourraient utiliser les informations
d'identification volées à certains de vos contacts proches pour partager des
informations liées à des discussions privées sur les réseaux sociaux, améliorant
ainsi considérablement les chances de réussite des attaques.
Ces données peuvent être combinées à des techniques d’investigation
traditionnelles, grâce auxquelles les attaquants vérifient une seconde fois la cible
pour s’assurer que la victime est la bonne, minimisant ainsi la diffusion des logiciels
malveillants et donc leur détection. Concernant les pièces jointes, il est de plus
en plus courant de s'assurer qu'il existe une interaction humaine avant de lancer
toute activité malveillante, afin d’éviter les systèmes de détection automatique.
En effet, plusieurs initiatives utilisant le Machine Learning permettent d’améliorer
l'efficacité du phishing. Les conséquences réelles restent inconnues, mais il semble
évident que la combinaison de tous ces facteurs va contribuer à l’efficacité du
phishing ciblé en tant que vecteur d’infection, en particulier via les réseaux sociaux,
dans les mois à venir.

9
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

DESTROYER DESTRUCTEUR

Olympic destroyer a été l'un des cas les plus connus de logiciels malveillants
potentiellement destructeurs au cours de l’année dernière, mais de nombreux
attaquants intègrent régulièrement de telles capacités dans leurs campagnes de
piratage. Les attaques destructrices ont plusieurs avantages pour les attaquants,
notamment la création d’une diversion et le nettoyage des journaux ou des
éléments de preuve après l'attaque. Elles sont souvent une mauvaise surprise
pour la victime.
Certaines de ces attaques destructrices ont des objectifs géostratégiques liés des
conflits en cours, comme nous l'avons vu en Ukraine, ou des intérêts politiques
comme les attaques qui ont touché plusieurs compagnies pétrolières en Arabie
Saoudite. Dans d’autres cas, elles peuvent être le résultat de cyberactivisme ou
d'activités menées par un groupe proxy utilisé par une entité plus puissante qui
préfère rester dans l'ombre.
La caractéristique commune de toutes ces attaques, c'est qu'elles sont «  trop
bonnes  » pour ne pas être utilisées. Les gouvernements pourraient s’en servir
comme riposte, entre la réponse diplomatique et l’acte de guerre. Certains
gouvernements ont même commencé à les expérimenter. La plupart de
ces attaques sont planifiées à l'avance, ce qui implique une première étape
de reconnaissance et d'intrusion. Nous ne savons pas combien de victimes
potentielles se trouvent dans cette situation, attendant l'élément déclencheur, ni
de quoi est composé l’arsenal des attaquants qui patientent avant l’ordre d'attaque.
Les environnements ICS et les infrastructures critiques sont particulièrement
vulnérables à ces attaques et, même si l'industrie et les gouvernements ont investi
beaucoup d'efforts ces dernières années pour améliorer la sécurité, la situation
est loin d'être idéale. C'est pourquoi nous pensons que même si ces menaces
ne seront jamais très étendues, nous nous attendons à quelques attaques l’année
prochaine, notamment en représailles de décisions politiques.

10
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

CHAÎNE D'APPROVISIONNEMENT AVANCÉE

Ce vecteur d'attaque, l'un des plus inquiétants, a été exploité avec succès au cours
de ces deux dernières années. Il amène à réfléchir sur le nombre de fournisseurs
et leur niveau de sécurité. Il n'existe pas de réponse simple à ce type d'attaque.
Ce vecteur permet de viser tout un secteur (comme avec les attaques de point
d’eau) ou même un pays tout entier (comme on l'a vu avec NotPetya), mais il
n'est pas adapté aux attaques plus ciblées, car le risque de détection est plus élevé.
Nous avons également constaté des tentatives d'attaques sans distinction, comme
l'injection de code malveillant dans des référentiels publics de bibliothèques
communes. Cette dernière technique peut être utile pour des attaques très
planifiées, lorsque ces bibliothèques sont utilisées dans le cadre d’un projet
particulier, notamment avec la suppression subséquente du code malveillant du
référentiel.
Ce type d'attaque peut-il aujourd’hui être utilisé de manière plus ciblée  ? Cela
semble difficile avec les logiciels, car ces attaques laissent des traces et le
programme malveillant est susceptible d'être diffusé à plusieurs clients. Elles
sont plus adaptées aux cas où le fournisseur travaille exclusivement pour un
client spécifique.
Quelles sont les prévisions concernant l'implantation sur le matériel ? Représente-
t-elle une réelle menace ? Ce sujet a récemment suscité des controverses. Avec
les fuites de l'affaire Snowden, nous avons en effet pu constater que le matériel
peut être manipulé avant sa livraison chez le client. Cependant, seuls les très
puissants acteurs sont en mesure de mettre au point ces menaces. De plus, elles
sont souvent limitées par plusieurs facteurs.
Toutefois, dans les cas où l'acheteur d'une commande particulière est connu, il
peut être plus facile pour l'attaquant de tenter de manipuler le matériel avant son
envoi, plutôt qu'au cours de la livraison.
Il est difficile d'imaginer comment tous les contrôles techniques des lignes
d'assemblage industriel pourraient être contournés et comment une telle
manipulation pourrait être réalisée. Nous n’écartons pas cette possibilité, mais
cela nécessiterait probablement la complicité du fabricant.
Les attaques de la chaîne d'approvisionnement représentent un vecteur d'infection
efficace que nous allons continuer de voir. Concernant l'implantation sur le
matériel, nous pensons qu'elle est peu probable, et que si elle se produisait, nous
ne le saurions probablement jamais...

11
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

APPAREILS MOBILES

Les appareils mobiles sont chaque année au centre des prévisions. Aucune
menace révolutionnaire n’est annoncée, mais il est toujours intéressant d'étudier
cette lente vague d'infections à deux vitesses. Il va sans dire que tous les acteurs
intègrent des composants mobiles dans leurs campagnes de piratage, car il serait
absurde de cibler uniquement les ordinateurs. Nous avons relevé de nombreux
exemples d'artefacts pour Android, mais aussi quelques améliorations en termes
d'attaques iOS.
Même si les infections réussies sur iPhone requièrent la concaténation de plusieurs
vulnérabilités zero-day, il est bon de rappeler que les attaquants bien équipés
peuvent payer pour obtenir cette technologie et l'utiliser dans leurs attaques.
Certaines entreprises privées affirment qu'elles peuvent accéder à n'importe
quel iPhone qu'elles possèdent physiquement. D'autres groupes moins fortunés
peuvent trouver des moyens inventifs de contourner la sécurité de ces appareils,
en utilisant par exemple des serveurs MDM frauduleux et en demandant aux
cibles de les utiliser sur leurs appareils via l'ingénierie sociale, donnant ainsi aux
attaquants la possibilité d'installer des applications malveillantes.
Il sera intéressant de voir si le code de démarrage pour l’iOS divulgué en début
d'année apportera des avantages aux attaquants, ou s’ils trouveront de nouveaux
moyens de l'exploiter.
Dans tous les cas, nous ne nous attendons pas à une grande avancée des
programmes malveillants mobiles. Une activité continue des attaquants les plus
expérimentés, visant à trouver des moyens d'accéder aux appareils ciblés, sont
néanmoins à prévoir.

12
SECURITY BULLETIN KASPERSKY LAB : PRÉDICTIONS DE NOS CHERCHEURS POUR 2019

AUTRES DOMAINES

Que préparent les attaquants pour l'avenir  ? L'une des idées qui émerge, en
particulier dans le domaine militaire, serait l’arrêt de l’emploi des humains, qui
sont sources d’erreurs, pour les remplacer par des outils plus mécaniques. Si
nous ajoutons à cela l’exemple des agents GRU expulsés des Pays-Bas en avril
dernier après avoir essayé de pirater le réseau Wi-Fi de l'OIAC, l’utilisation des
drones en remplacement des agents peut être envisageable pour les piratages
de faible portée.
Que penser des backdoors de centaines de projets de cryptomonnaies pour
collecter des données ou gagner de l'argent ?
De l'utilisation d'un bien numérique pour le blanchiment de l'argent  ? Ou de
l’exploitation des achats dans les jeux afin de revendre ces comptes sur le marché ?
Il existe tellement de possibilités que les prévisions sont souvent loin de la réalité.
La complexité de l'environnement ne peut plus être pleinement comprise et
favorise les attaques spécifiques dans différents domaines. Comment le système
interbancaire interne d’un marché boursier peut-il être soumis à des fraudes  ?
Je n'en ai pas la moindre idée, je ne sais même pas si un tel système existe.
L'imagination des attaquants à l’origine des campagnes de piratage est sans limite.
Notre rôle est d’essayer de les anticiper, de comprendre les attaques qui n’ont
pas encore eu lieu et de les empêcher.

13