Les secteurs gouvernemental, de l’aviation, de l’éducation et des télécommunications en Asie du Sud et du Sud-Est ont été la cible d’un nouveau groupe de pirates connu sous le nom de Lancefly (menace persistante avancée ou APT). Ce groupe utilise une porte dérobée développée sur mesure appelée « Merdoor », qui a commencé à être utilisée à la mi-2022 et a continué jusqu’au premier trimestre de 2023.

Selon les chercheurs de Symantec—Broadcom Software, le logiciel malveillant sur mesure de Lancefly est une porte dérobée puissante qui semble exister depuis 2018. Les chercheurs de Symantec ont observé son utilisation lors de certaines activités en 2020 et 2021, ainsi que dans cette campagne plus récente.

On pense que la collecte de renseignements est la motivation de Lancefly derrière cette attaque. « La porte dérobée est utilisée de manière très sélective, n’apparaissant que sur quelques réseaux et un petit nombre d’ordinateurs au fil des ans, son utilisation semblant être hautement ciblée », ont déclaré les laboratoires de menaces de Symantec dans une analyse.

La chaîne d’attaque

Les chercheurs de Symantec avaient déjà vu la porte dérobée Merdoor utilisée pour cibler des victimes dans les mêmes zones géographiques, dans les secteurs gouvernemental, des communications et technologique, en 2020 et 2021.

Des preuves de la campagne précédente de Lancefly en 2020 suggéraient que le groupe aurait pu utiliser un courriel d’hameçonnage comme appât, ciblant le 37e Sommet de l’ASEAN comme vecteur d’infection initial.

Dans ce cas, Symantec n’a pas encore découvert le vecteur d’infection initial utilisé par Lancefly. Cependant, le groupe malveillant a utilisé des courriels d’hameçonnage et des identifiants SSH. Ils ont également utilisé la force brute et exploité des serveurs vulnérables accessibles au public pour obtenir un accès non autorisé.

Lancefly a également utilisé une version mise à jour du rootkit ZXShell, qui dispose d’un chargeur pouvant déclencher le déploiement de la charge utile, ainsi que la lecture et l’exécution de shellcode, entre autres. D’autres opérations APT chinoises, dont APT41 et APT17, ont également utilisé un tel outil.

Risques systémiques en cybersécurité

Les incidents de cybersécurité peuvent avoir un effet domino, affectant les organisations et même au-delà des frontières. Les risques créés sont potentiellement systémiques et souvent hors du contrôle de toute entité individuelle. L’évolution du paysage de l’innovation technologique a dépassé la réglementation et les cybercriminels n’ont cessé d’apprendre et d’évoluer rapidement.

La gestion efficace des risques systémiques en cybersécurité à cette vitesse ne peut pas être laissée uniquement aux organisations individuelles. « La cyberrésilience est une cible mouvante, car les entreprises peuvent être exposées à de nouvelles menaces et risques à chaque seconde, chaque heure et chaque jour, tout en tirant parti des avantages de leur transformation numérique », a déclaré Amit Jain, vice-président exécutif, Services de cybersécurité & GRC, HCLTech.

La voie à suivre

Selon le rapport Global Cybersecurity Outlook 2023, 17 % des dirigeants de la sécurité ont exprimé des inquiétudes quant au niveau de cyberrésilience de leur entreprise. Ce chiffre était légèrement en hausse par rapport à 13 % des dirigeants l’année précédente.

Inversement, un niveau de sensibilisation accru au risque cybernétique parmi les cadres a conduit à une augmentation marquée des préoccupations. Cela pourrait être dû à une meilleure compréhension, par les dirigeants, des dommages qu’une cyberattaque majeure peut causer à leurs opérations, relations commerciales et réputation.

Fin 2022, la Securities and Exchange Commission (SEC) des États-Unis a créé des règles faisant de la déclaration des risques cybernétiques et de la planification de la résilience de l’entreprise un élément essentiel de la gestion efficace des conseils d’administration.

Compte tenu des répercussions financières potentielles des risques cybernétiques, le rapport sur les principes de gouvernance des conseils d’administration en matière de cyberrisques du Forum économique mondial et de la National Association of Corporate Directors (NACD) conclut qu’il s’agit d’une question qui relève du conseil d’administration et qui doit être abordée de manière proactive. Il est essentiel que le conseil s’assure que les budgets alloués au risque cybernétique soient alignés afin de réduire efficacement les impacts potentiels.

« Une approche dynamique de la cybersécurité est le besoin du moment, qui ne s’intéresse pas seulement aux politiques, processus et technologies, mais considère également les personnes et la culture comme un ingrédient clé pour créer une posture résiliente », a déclaré Renju Varghese, Fellow & architecte en chef, Services de cybersécurité & GRC, HCLTech.

Il est révolu le temps où les budgets de sécurité étaient fixés sans tenir compte du contexte de l’impact sur les activités. Pour instaurer une culture de cybersécurité proactive, les responsables de la sécurité devraient consolider leurs contrôles de sécurité dans une plateforme plus unifiée, plutôt que d’utiliser plusieurs produits disparates même s’ils sont de pointe. Cela permettra non seulement de diminuer les coûts, mais aussi d’améliorer l’efficacité opérationnelle, ce qui mènera à une posture de sécurité plus robuste, en raison d’une complexité réduite.

« On ne peut pas éviter les cyberattaques, mais la préparation et l’agilité, alliées à une complexité moindre, permettraient aux organisations de réagir rapidement aux menaces cybernétiques et de créer une cyberrésilience dynamique et durable », a déclaré Jain.