Panorama de la cybercriminalité du CLUSIF : Florilège d’attaques en 2023
janvier 2024 par Marc Jacob
La 24éme édition du panorama de la cybercriminalité organisé par la Clusif a été une fois de plus riche en contenu. Cette année encore les pirates ont été prolifiques et ont utilisé toutes les nouvelles technologies pour effectuer leur méfait. Si cette année n’a été pas été de tout repos pour les équipes… Et 2024 fait augurer de pire d’autant que les Jeux Olympiques de Paris devrait entrainer une surabondance d’attaques.
Benoit Fuzeau le président du Clusif a introduit cette édition en présentant ces vœux et en rappelant que les cyber attaques ont été toujours aussi virulentes. Ainsi, la filière a été sous pression tout au long de 2023. En 2023 le Clusif a produit 9 livrables. 2024 présente son lot de défis. Le CLUSIF poursuivra ses actions afin de faire mieux connaître la cybersécurité.
Puis Hervé Schauer fondateur d’HS2 a rappelé que la formation est essentielle dans le domaine de la cybersécurité. Si la formation a un CA de 1 à 2% du CA de la cybersécurité, il pense qu’elle permet de mieux sécuriser les SI et donc à un impact beaucoup plus important.
Dalila Ban Attia de Terranova Security by Fortra a expliqué que la sensibilisation est un autre pilier de la cybersécurité.
Par la suite Loïc Guezo, Vice- président d’une CLUSIF a rappelé le fonctionnement du panorama de la Cybercriminalité qui repose uniquement sur des sources ouvertes. C’est une sélection d’évènements illustrant l’émergence d’un phénomène entre autres. Cette année il y a des sujets autour du Cloud, de la géopolitique... mais aussi es attaques de Casinos et un point spécifique sur le retenu du Clusif de Bretagne et du CHU de Brest.
Actualités de la sécurité du Cloud
Michaël JACQUES, Philippe WERLE ont présenté les actualités de la sécurité du Cloud. Selon un rapport de Thales il y aurait une augmentation de 35 à 39 % des fuites de données en 2023. Cette croissance vient de problèmes de configuration et de vulnérabilités. Par exemple chez virusTotal suite à un accident de CVS les données confidentielles de personnelles du gouvernement américain a été diffusé aux abonnés. Chez GITHUB de mauvaises pratiques ont permis de mettre dans le cloud des identifiants traçables. Chez Microsoft, ils notent des problèmes de Token. Chez Google des pratiques de phishing ont été notés avec l’utilisation de Google Form. Chez Meta des publicités malveillantes ont été adressées qui permettaient de faire de l’extorsion ou de la diffamation. Chez Microsoft, ils notent des vols de clés MSA qui ont permis de récupérer les mots de passe d’un employé de Microsoft et ainsi d’usurper des comptes ainsi 60.000 informations sur des responsables du gouvernement américain ont été volés.
En conclusion pour les cybercriminels le cloud est une source de revenu. Il faut de ce fait renforcer le chiffrement comme l’a rappelé la CNIL et rester vigilant.
Threat Actor : Clop MovIT – Nicolas RAIGA
Nicolas RAIGA a présenté CLOP un groupe qui a démarré ses activités en 2019 en commençant par du chiffrement puis est passé sur du vol de donnée. En janvier 2020 ils ont exploité une vulnérabilité ODays puis en 2022 en procédant de la même façon.
Pour la campagne MovIT le groupe a exploité une vulnérabilité en mai 2023. Puis, il a publié les données de ses clients via Thor puis par Torent. Il y a eu 2591 victimes avec jusqu’à 100 millions de $. Par contre, les autorités américaines ont mis leur tête a pris 10 millions de $. Ce groupe procède à de la double extorsion et est très dangereux. Il recommande de porter une attention particulière à File Transfert que ce groupe a utilisé à plusieurs reprises.
Géopolitique : Extension du domaine de la lutte – La Chine dans la place
Loïc Guezo a présenté le Hackback qui a été recommandé par le gouvernement américain puis par l’Australie. Il semble qu’un appel de même type existe en Europe. De son côté il semblerait que la Chine ne soit pas restée immobile en ce domaine. Ainsi l’ANSSI a adressé plusieurs alertes sur la Chine. En Australie le gouvernement a interdit l’utilisation de caméras de vidéosurveillance chinoises. Bien sûr, la guerre en Ukraine a donné lieu à de nombreuses attaques tant du côté russe qu’ukrainien. Les russes ont publié de nombreuses fake News en utilisant de faux site de journaux français comme le Monde, ou Le Parisien... Suite aux attentats du 7 octobre en Israël, l’affaire des étoiles de David à Paris a très vite montré une ingérence des russes. Après Pegasus on a eu le problème Predator. Enfin la refonte de la loi FISA qui a été prolongée jusqu’à avril 2024 étend la capacité d’espionnage des américains. Ainsi se pose la question de SecNum Cloud.
Le secteur public dans la tempête
Philippe WERLE et Benoît GRUNEMWALD se sont attachés à montrer les attaques qui ont visé le secteur public comme l’Assemblée nationale, des CHU, des services essentielles comme l’eau…
Pour les collectivités territoriales elles ont été des cibles privilégiées. Ainsi, une collectivité sur 10 aurait été touché avec des dysfonctionnements comme des interruptions de services, des destructions de données des pertes financières... ces attaques ont engendré des coûts non négligeables hors les rançons payées. La première catégorie d’attaques reste le phishing.
Les Universités détiennent une très importante variété des données sensible entre les personnels, les étudiants, les sous-traitants... de plus les activités de recherche entraînent des collaborations avec des CHU, sans compter l’utilisation de PC portables, le télétravail...
En 2023, l’Université d’Aix Marseille a été attaqué par un Infostealers. Il a permis de voler des donnés importantes qui ont été mises en vente très rapidement. Ainsi, un budget de 750 millions€ jusqu’en 2027 a été débloquée afin de mieux protéger ces sites. Par ailleurs, cybermalveillance.gouv.fr et l’ANSSI ont mené divers actions dont la publication de livre blanc pour mieux aider ces entités à se défendre
Threat Actor : LockBit
Cédric CAILLEAUX a rappelé que Lockbit serait à l’origine près d’un tiers des attaques en ransomwares sur la planète. Parmi les victimes de ce malware il cite l’attaque sur l’hôpital de Corbeil Essonne. Le groupe se fait connaître en 2019, puis en 2020 il prend le nom de Lockbit. Puis il ont conçu une variante pour Linux. Par la suite ce groupe sort LockbitBlack avec sa version 3.0. Le groupe a lancé ses chercheurs pour trouver les vulnérabilités en procédant à un Bug Bounty. Il a voulu retenir de l’argent sur le salaire d’un de ses développeurs qui a mis en ligne le 0Day contenu dans lockbit. Ceci a conduit au lancement de LockbitGreen. En avril 2023 la Royal Mail a été attaquée par ce malware. Lockbit a aussi annoncé avoir attaquer la FDA par contre il s’est trompé de site et avait ciblé une fédération Française.
Infostealers
David GROUT a traité le sujet des Infosealers qui ont été au top de l’activité en 2023 du fait de l’arrivée du télétravail en particulier. Ils existent depuis 2020. L’infostealer est le vol d’information en utilisant des outils. Ils cherchent les identifiants, les mots de passe, l’information des navigateurs des comptes de jeux en lignes... ils sont de plus en plus un service As a Service. Ils sont discrets et utilise l’actualité pour commettre leurs méfaits. Sans compter qu’ils utilisent de la vidéo, de faux sites, les informations sur Facebook... C’est un écosystème très complexe avec des flux financiers qui passe par des places de marché pour revendre des informations et acheter des outils. Ils ciblent souvent les mots de passes et plus récemment des gestionnaires de mots de passes.
Finance décentralisée — Les cyberattaques au centre de l’écosystème
Ce sujet devait être présenté par Timothé COULMAIN (souffrant) qui s’est fait remplacer par Hervé SCHAUER. Il a présenté les attaques sur la finance décentralisée (les cryptomonnaies). En 2023, il y a deux milliards de cryptomonnaies détournées en baisse par rapport à 2022. Cette baisse est dû au tassement du volume de transactions sur les cryptomonnaies. Plus d’une centaine d’attaques ont été recensées principalement dû à des vulnérabilités et des erreurs de codage. Il a cité deux incidents : Euler finance qui a été attaqué en utilisant une vulnérabilité sur les contrats. En fait, tout commence par la recherche d’un Bug Bounty. Suite à la découverte d’une vulnérabilité qui a été mal corrigée et générée une faille bien plus grave. L’auteur de cette arnaque a envoyé 100 millions de$ à Lazarus en pensant qu’il s’agissait de personnes comme lui. Par contre lorsqu’il s’aperçoit de son erreur il a rendu 90% des fonds. Au final, il se fait arrêter en France car il avait 200.000 € en liquide sur lui.
Ronin un malware conçu par le Groupe Lazarus est découvert par le FBI qui a commis de multiple attaque. Suite à cette découverte, le FBI a adressé des alertes afin de bloquer les comptes de Lazarus. Dans le même élan la France s’en est mêlée. Par contre, il a annoncé que l’an prochain devrait être pire pour les attaques sur les cryptomonnaies car leur cours remonte.
Threat Actor : ALPHV/ BlackCat
Cédric CAILLEAUX a présenté BlackCat qui est un ransomware créé en novembre 2021. En mai 2023 il a ciblé de nombreuses sociétés françaises avec entre autres pour le Groupe Mazars, ou encore MGM Resort, North Face qui avait tenté de négocier à la baisse et dont le groupe s’est moqué ouvertement.
Le Groupe Redit a été ciblé en demandant une rançon exorbitante mais aussi en modifiant l’accès asa plateforme via des API. Pour l’attaque sur L’éditeur Meridian Link qui n’a pas voulu payer la rançon par contre, n’obtenant pas de rançon il a déposé plainte car la société n’a pas divulgué cette attaque. Le site de BalckCat a été fermé. On a pensé un moment que la fin de BlackCat était proche d’ailleurs Lockbit aurait tenté de recruter dans les rangs de BlackCat. Par contre, ce groupe a remonté un nouveau site et s’est allié avec Lockbit.
Désinformation et réseaux sociaux en 2023
Les réseaux sociaux et la désinformation sur les réseaux sociaux a été présenté par Valentin JANGWA. Suite au rachat de Twitter par Elon Musk de nombreux adhérents ont cessé d’utiliser cette plateforme comme le CLUSIF, mais aussi IBM et d’autres grands groupes...
Puis Valentin JANGWA a présenté Kopeecha un programme russe créé des centaines de faux profils en quelques secondes. Il explique que les deep fake sont de mieux en mieux fait et par exemple des pirates ont récemment fait chanter des personnalités politiques françaises. Ainsi l’UE ainsi que les gouvernements européens ont pris des mesures sévères en instituant des amendes importantes.
En 2023, lors du Panocrim, Twitter était un des points d’alerte.
Elon Musk qui en avait fait l’acquisition, avait subitement licencié la Responsable de la Sécurité des Systèmes d’Information, les faux comptes avaient progressé (il y en aurait environ 22 à 65 millions), la modération faisait défaut.
Ou en est-on ?
La situation semble s’être aggravée.
XTwitter aurait perdu plus de 71% de sa valeur, Elon Musk a ouvertement insulté les annonceurs qui souhaitaient quitter son Réseau Social.
Le CLUSIF fait partie des premières organisations à avoir cessé ses activités sur ce Réseau Social.
La Maire de Paris, le Maire de Nice, de grandes entreprises comme IBM, DISNEY, ou autres, ont fait la même chose.
L’Europe durcit le ton sur la Désinformation.
L’ARCOM, l’Autorité de Régulation de la Communication Audiovisuelle et Numérique a mis en ligne les déclarations des plateformes et Réseaux Sociaux (TikTok, Instagram, LinkedIn, XTwitter) concernant leurs mesures prises contre la manipulation des Informations.
Tout ce contexte est préoccupant en matière de Cyberattaques.
En effet, des Analystes en Cybersécurité auraient percé les secrets de la plateforme de création d’adresses de courriels ou d’e-mails, Kopeechka. Des pirates informatiques utiliseraient ce programme identifié Russe pour créer de faux comptes en masse et lancer des campagnes de Désinformation, d’influence, d’hameçonnage ou phishing, et d’autres arnaques.
Ce programme permettrait même de contourner les mécanismes d’authentification et de vérification d’adresses e-mails et de numéros de téléphone.
Alarmant, en vue des élections prévues dans le monde et des Jeux Olympiques et paralympiques en France.
Les gouvernements exigent une lutte sans réserve des Deepfakes sur les Réseaux Sociaux, ces Hypertrucages seraient de plus en plus efficaces et difficiles à détecter, utilisés pour des arnaques.
Un exemple ? Des parodies montrant de faux politiques en train de chanter, et danser.
Nous vous laissons deviner qui est qui… (Emmanuel Macron, Marine Le
Pen, Jean-Luc Mélanchon) C’est de l’Hypertrucage sur TikTok avec l’aide de l’Intelligence Artificielle Générative !
Eh bien l’année 2023 s’est difficilement terminée pour XTwitter, puisque la Commission Européenne a ouvert des procédures formelles en infraction contre ce Réseau Social, le soupçonnant d’avoir enfreint le Règlement Européen sur les Services Numériques qui demandent aux Réseaux Sociaux de supprimer les contenus illégaux du territoire de l’UE.
L’amende pourrait être de 6% du ÇA et l’interdiction du territoire en cas de récidive.
Affaire à suivre…
En conclusion, et sans vouloir se répéter, en cette année où auront lieu de nombreuses élections dans le monde (Élections Européennes en Juin, Élections américaines en Novembre, et bien d’autres) de grands défis Cybersécurité s’annoncent.
Le CLUSIF préconise de rester en veille et en vigilance !
L’intelligence artificielle, une opportunité pour les cyberattaquants
Gérôme Billois a présenté les opportunités pour les attaquants d’utiliser l’IA afin de générer de nouveaux types d’attaques. Pour lui l’IA est un système différent et attaquable. Il a cité l’exemple de Chevrolet qui a lancé un Chatbot. Ce dernier a été détourné en lui faisant dire que la meilleure Voiture électrique est Tesla ou encore en lui faisant accepter de vendre une voiture à un euro.
Il a cité un autre exemple de détournement de l’IA. Le principe consiste à faire répéter la même phrase en boucle. Ceci amène un bug qui lui fait révéler du texte avec du sens et des données sensibles. Dans le même genre, il note « l’attaque à la grand-mère » pour lui faire révéler des numéros de licences et autres données sensibles. Un chercheur de Forcepoint a réussi à faire créer par l’IA un code malveillant indétectable par les antivirus. Autre exemple, qui consiste à mettre une image anodine en rajoutant un texte dissimulé ou un code invisible a l’œil nu pour l’utilisateur afin de générer des attaques d’un genre nouveau. Ces attaques sont souvent rapidement corrigées. Par ailleurs, les attaques sur les supply chain avec par exemple de l’attaque appelé PoisonGPT remettent en question la crédibilité de l’IA. Sans compter que les cybercriminels vendent des modèles open source en enlevant les mesures de sécurité. L’utilisation de l’IA permet aussi par exemple de générer des attaques en phishing pour les japonais qui jusqu’à présent avaient été un pays relativement épargné. De plus, il y a une multiplication du clonage voix réaliser pour générer des attaques.
Défense des IA
Christophe AUBERGER a présenté le développement de l’utilisation de l’IA pour analyser les données, pour faire de l’IA générative intégrer à des supply chain complexe, de même pour le développement informatique. Microsoft, Google, Meta, Nvidia ont d’importantes équipes affectées au Redteam AI pour de nombreuse entreprise depuis 2018. Certaines font aussi appel à du Bug Bounty avec un double objectif de cybersécurité et de responsabilité pour mettre les moyens pour que le système ne sorte pas du cadre.
Il note aussi que les méthodologies se construisent comme celle de Nvidia ou Microsoft. Les régulateurs et les États travaillent dessus. L’OWAPS et l’ENSIA ou encore le NCSC ont sortie des guides sur ce sujet.
Les attaques sont nombreuses comme les injections rapides, le traitement de données non sécurisées, l’empoisonnement de données, les vulnérabilités sur les chaînes d’approvisionnement, les plugins non sécurisées, le vol du modèle. Ainsi, l’humain joue un rôle important pour éviter les aberrations des modèles de langage.
Le gendarme et le voleur dans le cyberespace
Michel Dubois montre qu’il a eu de très nombreuses arrestations en 2023, comme le démantèlement du groupe HIVE, ou de l’arrestation du pirate finlandais Tomminpoika. Il a été arrêté en France par des policier pour violences conjugales. Il cite aussi la désactivation de Snake spécialisée sur les attaques d’états. En Afrique arrestation multiple de plus de 14 cybercriminels qui sévissaient dans plusieurs pays. Mikhaïl Pavlovich a été arrêté par le FBI, le Groupe Ragnar Locker qui sévissait dans plus de 11 pays. Toujours, en 2023 en Espagne d’un groupe de cybercriminels qui faisait du phishing...
En Ukraine un autre groupe a été arrêté. Le Groupe Snatch a proféré des menaces pour dissuader les policiers de les arrêter. En effet, il a annoncé qu’en cas d’arrestation il divulguerait les données de leurs victimes. Enfin le Groupe AlphV a vu ses infrastructures saisies.
Third Party : utilisé par tous les attaquants
Michaël JACQUES, Xavier AGHINA ont présenté les attaques sur les supply chain comme celle, sur Okta pour s’en prendre à ses clients. lapsus le groupe qui a orchestré ses attaques ont débuté par le piratage des répertoriés de code source et a organisé des attaques sur les clients d’OKTA. Tout a commencé après le piratage de Sitel un sous-traitant d’OKTA. Les pirates ont utilisé le support client et ont utilisé les cookie s de session. Les victimes représentent 1% des clients d’OKTA. 3 Clients ont alerté OKTA.
Attaques 3CX qui a impacté 600.000 clients. Les pirates ont compris les logiciels de 3CX, ainsi les clients en téléchargeant le logiciel ont compris leur système.
En conclusion la chaîne d’approvisionnement reste une voie royale pour les attaquants. De ce fait le Clusif recommande d’auditer régulièrement les sous-traitants. De plus NIS2 et Dora devrait obliger les entreprises à mieux renforcer les SI.
Zoom sur les attaques des casino
Gérôme Billois a présenté les attaques sur les Casino en particulier à L’as Vegas en particulier sur MGM et Caesar Palace. Caesar a perdu les données de 65 millions de clients. Pour Caesar Palace a informé qu’il payait la rançon de 15 millions de. Dollars. Pour sa part MGM a décidé de ne pas payer la tante de tout reconstruire.
Pour l’attaque de MGM il a fallu 10 minutes pour la réaliser. Ils ont utilisé du phishing et du social engineering. BlackHat AlphaV et Scattered Spider ont généré cette attaque. Il semble que le groupe Scattered Spider soit anglophone.
Bretagne, terre de cyber
Stéphanie LADEL du Clusif Bretagne créé en juin. 2021 est forte de 127 adhérents et Loïc Guezo ont présenté les attaques en Bretagne. En Bretagne 160 entreprises De la cybersécurité. Le CIRT Bretagne vient d’être créé l’ANSSI a ouvert une antenne à Rennes en 2023. En Janvier la ville de Vannes a subi une attaque sur ses panneaux lumineux.
Puis une vingtaine d’établissements scolaires ont subi des alertes à la bombe. Le CHU de Rennes a été attaqué, Par la suite une cyberattaque par ransomwares a eu lieu pour bloquer les sites des Côtes d’Armor. Le 21 Juin le CHU de Rennes a été attaqué. Le 30 juin c’est autour du CHU de Saint-Brevin. Puis en septembre c’est la communauté de Morlaix qui a été attaquée.
Pour le secteur privé un des principaux sous-traitants de Crtitech industrie est attaque ce qui conduit à la fermeture de cette dernière. Puis un. Cabinet d’huissier est attaqué. Des magistrats de rennes voient leurs données diffusées sur le web.
Retex sur la cyberattaque du CHU de Brest
Jean Sylvain CHAVANNE, RSSI du CHU de Brest a fait un retour d’expérience suite à une cyber attaque le 9 mars 2023. Le CHU a 2500 lits, 10000 salariés, 200 applications métiers, 700 serveurs 160 bases de données 3 PO de données. Il reçoit un phishing toutes les 50 secondes.
Dans la nuit du 9 mars, l’ANSSI l’informe qu’il y a des mouvements suspects avec diffusion d’information concernant le CHU sur le Web. Les connexions frauduleuses sont confirmées de ce fait il alerte le SAMU, les urgences, la biologie, l’imagerie pour les informer de cette situation. La décision est prise de couper internet et de fonctionner en mode dégradé. Il informe le personnel hospitalier immédiatement que le CHU subi une cyberattaque. Il a tenté d’identifier les impacts. Dès le vendredi un CSIRT a été consulté pour les aider. Il s’aperçoit rapidement que la porte d’entrée de l’attaque est un poste de travail personnel d’un interne qui a servi à l’attaque. Il y avait un login mot de passe ce qui était insuffisant. Il a analysé le poste ce qui confirme que le pirate a utilisé un Infostealer. Par contre, le pirate n’est pas arrivé à corrompre l’AD. En investiguant, il s’aperçoit que l’attaque avait débuté depuis le 21 février et avait fait de la reconnaissance. Le pirate a utilisé plusieurs vulnérabilités pour élever leur privilège, mais sans succès car les patchs avaient été déployés. Par contre, en mars l’attaque est passé en utilisant de nouvelles vulnérabilités.
Au final, la cyber attaque a accéléré drastiquement la mise en œuvre des mesures de cybersécurité. Le fait d’avoir coupé internet a eu un fort impact sur le fonctionnement du CHU. La cellule de crise a permis de travailler avec les professionnels de santé pour trouver des solutions pour fonctionner en mode dégradé par exemple en donnant des clés 4G. Un canal CHAT a été ouvert afin de communiquer plus rapidement avec l’ANSSI, l’ARS, les laboratoires pharmaceutiques et le reste du personnel de santé. La crise a durée plus de 35 jours pour réouvrir internet. La réaction rapide a été très importante. De même l’échange d’informations a été primordial.
Insolite / On aurait aimé vous parler de…
Michel DUBOIS a cité le cas 23ANDME qui a été attaqué qui se sont fait voler la totalité des données clients 6,5 données d’utilisateurs ont été volés.
La coupe du Monde de Rugby n’a généré aucune attaque.
Loïc GUEZO a traité de Geofencing qui a. Obtenu dans le Colorado de donner un kit de réparation.
Kyberswap la bourse des blockchains a été attaqué le pirate a demandé une rançon lorsqu’il se sera reposé puis a demandé à devenir le CEO de l’entreprise. Le Quishing est un sujet qui apparaît en utilisant les QR codé. Le piratage via un infostealer a attaqué Orange.
Conclusion
Et pour 2024 Gérôme BILLOIS a présenté le défi des JO 2024 avec sans doute une avalanche d’attaque via des faux billets, des faux concours, de faux événements...qui ciblent le grand public.
Les sponsors vont sans doute être ciblés. Des groupes d’attaque vont évidemment mener des attaques en DDOS, d’ailleurs des kits d’exercice de crise sont disponibles sur le site de l’ANSSI. Il va falloir que les équipes cyber seront présentes entre sujet et août.