Des pirates informatiques de Russie, d’Iran, de Chine et de Corée du Nord sont à l’origine de certaines des 36 cyberattaques considérées comme les plus critiques subies par les administrations espagnoles et les entreprises stratégiques au cours des derniers mois, ont déclaré des experts dépendant du Centre national du renseignement (CNI) espagnol.
Selon El País, ce sont les déclarations des intervenants du Centre national de cryptologie (CCN-CERT), qui ont rendu compte cette semaine des résultats de leurs recherches lors de la 13e Conférence sur la cybersécurité, tenue à Madrid.
Les systèmes hackers identifiés comme APT39 et APT33, liés à l’Iran, le Cobalt Gang, lié à la Corée du Nord, les systèmes russes APT29 et Snake, et l’Emissary Panda chinois, ont lancé l’année dernière des attaques contre des entreprises aéronautiques, des cabinets juridiques ou des banques, ainsi que des organismes publics. Les chercheurs soupçonnent que ce sont les mêmes États associés à ces pirates informatiques qui commanditent les attaques respectives.
Fin 2018, une importante entreprise espagnole du secteur aéronautique a été attaquée par le système APT39, une unité de pirates informatiques liée à l’État iranien. Les experts du CCN-CERT ont été alertés et l’attaque aurait été contenue. Une nouvelle attaque en 2019, via un fournisseur, a renvoyé l’affaire devant les tribunaux, ajoute l’article de El País.
En février 2019, un autre système de pirates informatiques prétendument iraniens, APT33, a lancé une campagne mondiale contre les cabinets d’avocats de clients internationaux, y compris les cabinets d’avocats en Espagne.
Cobalt Gang, le groupe nord-coréen, a effectué en février dernier un braquage contre une banque espagnole, rapporte les médias espagnols, et après avoir infesté quelques utilisateurs, a réussi à entrer dans SWIFT, le réseau international des transactions entre institutions financières. À partir de là, elle a exécuté des ordres de paiement pour un montant de neuf millions d’euros.
Les responsables du CCN-CERT ont déclaré que la banque a réussi à récupérer l’argent, ajoute le média. Cobalt Bang a également été actif en Espagne en 2018.
El País nomme également Snake, un malware russe spécialisé dans l’espionnage des agences gouvernementales et des entreprises de défense occidentales. En avril et juillet, les actions de Snake ont été détectées dans une agence gouvernementale qui a été attaquée il y a quatre ans. On croit que la nouvelle attaque s’est produite parce qu’elle n’a pas fait un nettoyage en profondeur. Ce logiciel malveillant russe aurait agi lors de la crise de Crimée en 2014.
Sur l’Emmissary Panda chinois, on sait qu’en avril 2018 il a volé plus de 200 gigaoctets de données à des entreprises du secteur aéronautique.
Selon Carlos Abad, chef de secteur des systèmes d’alerte et d’intervention en cas d’incident au National Cryptologic Center, une réponse adéquate aux incidents devrait être basée sur « des procédures bien établies, des outils adéquats, ainsi que l’expérience et les connaissances de ses membres », mais ce qui a été remarqué cette année dans la vie réelle est qu’il existe « des technologies inconnues ou obsolètes et des informations non vérifiées qui envahissent tout ».
Le travail de prévention est difficile « avec le terrain [embarrassé de corruption] », a écrit Abad lorsqu’il a présenté son article à la Conférence.
Abad a souligné que dans son discours, il ne mentionnerait pas seulement les principaux acteurs et incidents auxquels ils ont été confrontés en 2019, mais aussi les techniques différentielles utilisées par chacun d’entre eux. Il montrerait également « les lacunes, les détails, les pressions et les obstacles qui conditionnent la réponse aux incidents ».
Le chef du système d’alerte avait précédemment annoncé que cette année, en Espagne, il y aurait des attaques plus avancées contre le secteur de la santé, les banques et le commerce électronique.
« D’un autre côté, les logiciels de rançon[ou rançongiciels, en français] sont déjà une réalité – où l’intrusion et la rançon demandée varient selon le type de victime », a-t-il dit.
Depuis septembre dernier, le CCN-CERT est devenu une sorte d’unité d’urgence informatique à la suite du « tsunami des rançongiciels », a rapporté El País. Cela se serait produit à l’échelle mondiale.
Un exemple d’attaque de rançongiciel a été vécu par la société norvégienne Norsk Hydro, l’un des plus grands producteurs d’aluminium au monde, qui s’est battu le 19 mars pour contenir une cyberattaque, laquelle a arrêté une partie de sa production.
L’entreprise ne pouvait pas allumer les ordinateurs de bureau, accéder à des fichiers ou exécuter des étapes de production. L’attaque a débuté aux États-Unis en fin de journée le 18 mars et s’est intensifiée du jour au lendemain, affectant les systèmes informatiques dans la plupart des activités de l’entreprise et forçant le personnel à poster des mises à jour via les médias sociaux.
Abad a également mentionné que nous ne devrions pas oublier de nous protéger contre les attaques DDoS. Il a expliqué que les routeurs domestiques seront la cible de nombreux acteurs comme moyen de lancer des attaques à grande échelle ou d’anonymiser l’infrastructure opérationnelle de l’attaquant, que ce soit des réseaux de zombies (botnets) ou autres choses.
« Les fabricants doivent améliorer la politique et la fréquence de mise à jour des dispositifs », a déclaré l’expert.
Nous devons également tenir compte du fait que « nous verrons des attaques plus avancées contre les environnements mobiles et Cloud, ainsi que contre les systèmes de contrôle industriels ».
L’Espagne, selon El País, enquête également sur l’attaque « APT », l’acronyme en anglais de Advanced Persistent Threat, la plus grave cyberattaque subie en Espagne ces dernières années, que le ministère de la Défense a découverte en mars dernier.
L’ATP « est une attaque à grande échelle, subreptice, sophistiquée, continue et dirigée contre les ordinateurs d’une organisation pour recueillir des données dans un but précis. Elle se distingue des autres attaques informatiques par le fait qu’elle ne tente pas de capturer rapidement de grandes quantités de données pour ensuite les vendre ou les exploiter rapidement. Il s’agit d’une attaque lente et méthodique conçue pour recueillir de l’information au fil du temps sans détection. Vous ne saurez peut-être jamais quand votre système a été compromis pour la première fois ».
Un juge, selon les médias espagnols, a pris en charge l’enquête et à ce jour, ceux qui, volontairement ou non, ont facilité l’accès au réseau général de la Défense ont été identifiés. Certains experts suggèrent que les auteurs ultimes de l’attaque sont très probablement en Russie.
***
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.
