1 min

L’attribution des attaques APT de plus en plus complexe

Selon les chercheurs français de l’équipe GReAT de Kaspersky, l’attribution des attaques APT s’avère de plus en plus difficile.

L’équipe Global Research and Analysis (GReAT) de Kaspersky France, durant une présentation de groupes lançant des attaques APT (Advanced Persistent Threat, les plus sophistiquées) en Asie, a fait le point sur l’attribution de ces attaques, rendue de plus en plus difficile par un écosystème cybercriminel toujours plus complexe.

« Auparavant, nous avions des méthodes assez simples pour attribuer des attaques à un groupe : en identifiant les outils utilisés, les modes opératoires ou encore certaines métadonnées, on pouvait identifier un groupe à l’oeuvre. Mais aujourd’hui, cela devient de plus en plus difficile de faire de l’attribution » a détaillé Pierre Delcher.

En analysant des attaques APT, les chercheurs de Kaspersky ont par exemple identifié un groupe, GhostEmperor, qui partageait une infrastructure avec un autre groupe criminel, Famous Sparrow. Ce dernier utilise lui aussi, selon des analyses d’ESET, des outils et serveurs appartenant à d’autres acteurs APT.

Les chercheurs citent également le cas de Iamtheking. Très actif en Russie, puis en Asie, le groupe disparaît des radars fin 2020, mais d’autres groupes réutilisent depuis ses infrastructures.

« Ce que l’on constate, c’est qu’il est aujourd’hui possible d’avoir des intrusions exploitant le même mode opératoire, mais qui conduisent parfois à des malwares différents, des campagnes d’attaques menées par des acteurs distincts contre un même groupe, ou encore des acteurs dont les capacités ont été détournées de leur usage initial », résument les chercheurs de Kaspersky. Une complexité qui rend la tâche des chercheurs toujours plus ardue.

Partager cet article avec un ami