Forte augmentation des campagnes d'attaques ciblées

Les attaques ciblées (APT) visant des systèmes d'information critiques contenant d'importantes quantités de données et exerçant une forte influence constituent une tendance privilégiée par de nombreux groupes de pirates informatiques. Cette tendance prend de l'ampleur à mesure que les organisations et les entreprises numérisent leurs opérations et que leurs volumes de données augmentent.

En effet, la situation de la sécurité des réseaux informatiques dans le monde et au Vietnam au cours des premiers mois de cette année a clairement démontré la tendance croissante des attaques ciblées visant les systèmes d'entités opérant dans des secteurs clés tels que l'énergie, les télécommunications... Plus précisément, au Vietnam, au cours du premier semestre 2024, des attaques ciblées utilisant des rançongiciels contre les systèmes de VNDIRECT, PVOIL... ont provoqué des perturbations dans leurs opérations et des dommages matériels et d'image pour ces entreprises, ainsi que des atteintes à leurs activités visant à garantir la cybersécurité nationale.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
L'attaque intentionnelle perpétrée au début de l'année, utilisant un logiciel malveillant pour chiffrer les données du système de VNDIRECT, constitue un enseignement majeur pour les unités vietnamiennes en matière de sécurité de l'information. Photo : DV

Dans des informations récemment partagées, le Centre national de surveillance de la cybersécurité (NCSC), relevant du Département de la sécurité de l'information, a déclaré avoir récemment enregistré des informations relatives à des campagnes de cyberattaques utilisant intentionnellement des logiciels malveillants complexes et des techniques d'attaque sophistiquées pour infiltrer les systèmes d'information importants d'organisations et d'entreprises, dans le but principal de mener des cyberattaques, de voler des informations et de saboter des systèmes.

Dans l'avertissement du 11 septembre envoyé aux unités informatiques et de sécurité de l'information des ministères, des succursales et des collectivités locales ; aux entreprises publiques, aux sociétés générales, aux fournisseurs de services de télécommunications, d'Internet et de plateformes numériques, ainsi qu'aux organisations financières et bancaires, le Département de la sécurité de l'information a fourni des informations détaillées sur les campagnes d'attaques APT menées par trois groupes d'attaquants : Mallox Ransomware, Lazarus et Stately Taurus (également connu sous le nom de Mustang Panda).

Plus précisément, outre la synthèse et l'analyse des comportements d'attaque des groupes d'attaquants dans 3 campagnes d'attaques ciblées visant des systèmes d'information importants, notamment : la campagne d'attaque liée au ransomware Mallox, la campagne du groupe Lazarus utilisant des applications Windows imitant des plateformes de vidéoconférence pour diffuser de nombreux types de logiciels malveillants et la campagne du groupe Stately Taurus exploitant VSCode pour attaquer des organisations en Asie, le Département de la sécurité de l'information a également publié des indicateurs de cyberattaque (IoC) afin que les agences, les organisations et les entreprises du pays puissent examiner et détecter les risques précoces de cyberattaques.

Juste avant cela, en août 2024, le Département de la sécurité de l'information avait également émis des alertes répétées concernant d'autres campagnes d'attaques ciblées dangereuses, telles que : la campagne utilisant la technique d'injection AppDomainManager pour diffuser des logiciels malveillants, identifiée comme étant liée au groupe APT 41 et affectant des organisations de la région Asie- Pacifique , notamment le Vietnam ; la campagne de cyberattaques menée par le groupe APT StormBamboo, ciblant les fournisseurs d'accès à Internet, dans le but de déployer des logiciels malveillants sur les systèmes macOS et Windows des utilisateurs afin d'en prendre le contrôle et de voler des informations importantes ; la campagne de cyberattaques menée par le groupe APT MirrorFace, dont la cible était les institutions financières, les instituts de recherche et les entreprises manufacturières…

modèle d'étape d'attaque 1.jpg
Schéma des étapes d'attaque du groupe APT StormBamboo ciblant les fournisseurs d'accès Internet, signalé par le Département de la sécurité de l'information le 6 août 2024. Photo : NCSC

Les informations concernant les groupes d'attaques ciblées visant les grandes organisations et entreprises au Vietnam constituent également un sujet que Viettel Cyber ​​Security analyse et partage dans son rapport sur la situation de la sécurité de l'information au Vietnam au cours du premier semestre de cette année.

Plus précisément, une analyse menée par les experts en cybersécurité de Viettel révèle qu'au cours du premier semestre 2024, les groupes d'attaques APT ont modernisé leurs outils et logiciels malveillants. Leur principale méthode consiste à utiliser de faux documents et logiciels pour inciter les utilisateurs à exécuter des logiciels malveillants. Parmi les techniques courantes employées par de nombreux groupes, on retrouve le chargement latéral de DLL, qui exploite des fichiers exécutables sains pour charger des DLL malveillantes ou des failles de sécurité CVE.

Les groupes APT évalués par le système technique de Viettel Cyber ​​Security comme ayant un impact majeur sur les entreprises et les organisations au Vietnam au cours des premiers mois de 2024 comprennent : Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28, APT27.

Mesures visant à prévenir les risques précoces d'attaque du système par des APT

Dans ses avertissements concernant les attaques APT, le Département de la sécurité de l'information a demandé aux agences, organisations et entreprises de vérifier et d'examiner leurs systèmes d'information susceptibles d'être affectés. Parallèlement, il leur est conseillé de surveiller proactivement les informations relatives aux cyberattaques afin de les prévenir au plus tôt et d'éviter ainsi le risque d'en être victimes.

W-information-system-security-1-1.jpg
Les agences, organisations et entreprises nationales sont invitées à renforcer leur surveillance et à élaborer des plans d'intervention dès la détection de signes d'exploitation et d'attaques informatiques. Photo : LA

Dans le même temps, il est également recommandé aux unités de renforcer la surveillance et de préparer des plans d'intervention en cas de détection de signes d'exploitation et de cyberattaques ; de surveiller régulièrement les canaux d'alerte des autorités et des grandes organisations de sécurité de l'information afin de détecter rapidement les risques de cyberattaques.

Dans le contexte des cyberattaques, notamment des attaques ciblées, en constante augmentation à l'échelle mondiale et au Vietnam, les experts en sécurité de l'information ont également recommandé aux organisations et entreprises nationales un certain nombre de mesures à privilégier pour minimiser les risques et maintenir la continuité de leur production et de leurs activités commerciales.

Il s'agit de : examiner les processus et les systèmes de gestion des données clients et des données internes ; surveiller de manière proactive les signes d'intrusion dans le système, détecter et réagir rapidement aux attaques ciblées ; examiner et mettre à jour les versions des logiciels et des applications présentant des failles de sécurité ayant des conséquences graves…

Des techniciens de pays de la région Asie-Pacifique s'entraînent à répondre aux attaques APT . L'exercice international APCERT 2024, sur le thème « Répondre aux attaques APT : trouver des solutions aux problèmes complexes », s'est tenu le 29 août, avec la participation de techniciens vietnamiens et d'autres pays de la région Asie-Pacifique.