Durant Les Assises de la sécurité 2024, l’éditeur Vade a animé une session autour des malwares : pas seulement comment les contrer mais plutôt comprendre les mécanismes utilisés et leurs évolutions et qui sont les groupes qui les déploient. Il est difficile d’avoir une vue globale de qui fait quoi et pourquoi.
On peut résumer les recherches des éditeurs et des autorités autour de 3 piliers :
– les personnes (les groupes)
– les objectifs
– les techniques et les méthodes pour atteindre les objectifs
Et là tout commence à se compliquer. Si pour certains groupes, il est relativement facile de les classer, d’autres sont particulièrement discrets. Par exemple, le groupe Fancy Bear est lié au GRU. Cela signifie un lien avec l’Etat russe. Les objectifs du groupe sont divers : espionnage, sabotage d’infrastructures, propagande notamment durant les élections. Les techniques utilisées sont nombreuses : 0-day, phishing, malware.
Autre groupe bien connu : Anonymous Sudan. Les liens avec la Russie sont supposés. Le groupe est particulièrement actif et n’hésite pas à communiquer. Il adore le DDoS et à faire des campagnes de déstabilisation.
D’autres groupes sont beaucoup plus discrets ce qui ne facilite pas le travail des autorités ni des experts en sécurité. Le groupe TA-577 est actif depuis au moins 2020. Les chercheurs de Vade mettent en avant la capacité de TA-577 à changer de stratégies et de techniques rapidement pour s’adapter. Si le gain financier est un des moteurs du groupe, sa principale activité est de vendre les accès illicites aux ordinateurs et serveurs. Pour se faire, des techniques de phishing, de hijacking de mails sont utilisées pour installer les malwares et s’assurer d’un accès discret.
Une des spécialités du groupe est d’utiliser les failles des fichiers et des logiciels par exemple d’un document PDF, des failles de plug-ins WordPress. Des scripts sont cachés dans les faux documents. Autre raffinement du groupe : pour brouiller les pistes, voire, pour tromper les outils de sécurité, la double redirection permet de cacher l’URL finale… rendant plus difficile la détection frauduleuse d’un lien.
