Les chercheurs de Kaspersky prévoient que les acteurs APT vont introduire de nouveaux programmes d’exploitation sur les appareils mobiles, vêtements et appareils connectés, et les utiliser pour former des botnets, affiner leurs méthodes d’attaque de la chaîne d’approvisionnement et utiliser l’IA pour élaborer des techniques de phishing plus efficace. Ces avancées devraient participer à une intensification des attaques à caractère politique et des activités cybercriminelles.
L’usurpation d’identité par l’IA, l’essor des techniques avancées d’attaques sur téléphones portables et les nouveaux botnets
Les nouveaux outils d’IA vont rationaliser la production de messages de phishing, permettant d’imiter des individus spécifiques. Les attaquants peuvent concevoir des méthodes d’automatisation créatives en recueillant des données en ligne et en les transmettant à des LLM pour rédiger des lettres dans le style d’une personne proche de la victime.
L’opération « Triangulation » marque une année charnière pour les attaques sur mobiles, ce qui pourrait stimuler la recherche sur les APT qui prennent pour cible les appareils mobiles, portables et intelligents. Nous verrons probablement les acteurs de la menace élargir leurs efforts de surveillance, visant divers appareils grand public par le biais de vulnérabilités et de méthodes de diffusion de failles « silencieuses », y compris des attaques en zéro clic par le biais des messageries, des attaques en un clic via des SMS ou des applications de messagerie, et l’interception du trafic réseau. La protection des appareils personnels et professionnels est devenue de plus en plus vitale.
L’exploitation des vulnérabilités dans les logiciels et les appareils couramment utilisés est un autre point sur lequel nous devons être vigilants. La découverte de vulnérabilités de gravité élevée et critique fait parfois l’objet d’une recherche limitée et de correctifs tardifs, ce qui ouvre potentiellement la voie à de nouveaux botnets furtifs et à grande échelle, capables de mener des attaques ciblées.
La croissance des cyberattaques menées par des acteurs soutenus par des Etats et l’hacktivisme, la nouvelle norme
Le nombre de cyberattaques commanditées par des États pourrait également augmenter au cours de l’année à venir, dans un contexte de tensions géopolitiques croissantes. Ces attaques pourraient présenter des risques de vol ou de cryptage de données, de destruction d’infrastructures informatiques, d’espionnage à long terme et de cyber-sabotage.
Une autre tendance notable est la montée en puissance de l’hacktivisme, qui est devenu plus courant dans le cadre des conflits géopolitiques. Les tensions géopolitiques indiquent une augmentation probable de l’activité hacktiviste, qui peut être dévastatrice ou viser à diffuser de fausses informations, conduisant à des enquêtes inutiles et à une lassitude des analystes SOC et des chercheurs en cybersécurité.
Parmi les autres prédictions de menaces avancées pour 2024, on peut citer :
– Les attaques de la chaîne d’approvisionnement en tant que service : accès des opérateurs à l’achat en gros
Ces attaques de la chaîne d’approvisionnement ciblent les petites entreprises pour atteindre les grandes. Par exemple, les brèches dans le système Okta en 2022–2023 soulignent l’ampleur de la menace. Les motivations de ces attaques peuvent aller du gain financier à l’espionnage. 2024 pourrait voir de nouveaux développements dans les activités du marché de l’accès au dark web liées aux chaînes d’approvisionnement, permettant des attaques plus efficaces et à plus grande échelle.
– L’émergence d’un plus grand nombre de groupes offrant des services de piratage contre rémunération
Les groupes qui proposent des services de piratage sont de plus en plus nombreux, fournissant des services de vol de données à une clientèle incluant aussi bien des enquêteurs privés que des rivaux commerciaux. Cette tendance devrait s’accentuer au cours de l’année à venir.
– Les rootkits de Kernel de nouveau en vogue
Malgré les mesures de sécurité modernes telles que la signature du code en mode Kernel, PatchGuard, HVCI (Hypervisor-Protected Code Integrity), les barrières d’exécution du code au niveau Kernel sont contournées par les APT et les groupes de cybercriminels. Les attaques contre le Kernel Windows sont en hausse, grâce aux abus du WHCP, et le marché clandestin des certificats EV et des certificats de signature de code volés est en pleine expansion. Les acteurs de la menace utilisent de plus en plus le BYOVD (Bring Your Own Vulnerable Driver) dans leurs tactiques.
– Les systèmes de transfert de fichiers gérés (MFT) utilisés pour des attaques avancées
Les systèmes de transfert de fichiers gérés (MFT) sont de plus en plus exposés aux cybermenaces, comme l’illustrent les failles de MOVEit et GoAnywhere en 2023. Cette tendance devrait s’accentuer, les cyber-attaquants cherchant à réaliser des gains financiers et à perturber le fonctionnement des entreprises. L’architecture complexe des MFT, intégrée à des réseaux plus vastes, présente des faiblesses en matière de sécurité. Les organisations doivent mettre en œuvre des mesures de cybersécurité robustes, notamment la prévention de la perte de données et le cryptage, et encourager la sensibilisation à la cybersécurité afin de renforcer les systèmes MFT contre les menaces en constante évolution.
« En 2023, l’augmentation notable de la disponibilité des outils d’IA n’a pas échappé à l’attention des acteurs malveillants APT engagés dans des campagnes étendues et très sophistiquées. Cependant, nous prévoyons que les tendances à venir vont au-delà des implications de l’IA, y compris de nouvelles méthodes pour mener des attaques de la chaîne d’approvisionnement, l’émergence de services de piratage à louer, des failles inédites pour les appareils grand public, et plus encore. Notre objectif est de fournir aux défenseurs des renseignements avancés sur les menaces qui restent à l’affût des derniers développements, améliorant ainsi leur capacité à repousser les cyberattaques plus efficacement », déclare Igor Kuznetsov, directeur de l’équipe mondiale de recherche et d’analyse (GReAT) chez Kaspersky.
Les prédictions APT ont été élaborées grâce aux services de renseignement sur les menaces de Kaspersky utilisés dans le monde entier. Le rapport complet est consultable sur Securelist.