L’idée d’espionnage évoque généralement des gadgets haut de gamme originaux, comme des parapluies qui se transforment en lasers et en lunettes à rayons X, des réunions clandestines matinales brumeuses ou des poursuites en bateau à grande vitesse dans des lieux exotiques et des déguisements élaborés. Aujourd’hui, la réalité est peut-être beaucoup moins sexy, mais bien plus efficace.
Parrainé par l’État les pirates ont des emplois de 9h à 17h, tout comme le reste d’entre nous. Ils ont des bureaux, des vacances et des discussions dans le café. Mais derrière leurs ordinateurs, ils mènent des campagnes pour infiltrer les systèmes du monde entier en capturant des données sensibles provenant de gouvernements, d’entreprises, d’infrastructures critiques ou même d’individus susceptibles d’avoir accès à ces données.
« Nous savons que la Chine, par exemple, possède une cyberarmée composée de dizaines de milliers de personnes et qu’elle pirate le monde chaque jour de manière très structurée avec des managers, des équipes et des stand-ups quotidiens », explique Willem, expert néerlandais en cybersécurité. Zeeman. « Tout est professionnel. »
Début 2024, alors qu’ils menaient une enquête en réponse à un incident, l’armée néerlandaise et les services de renseignement généraux ont remarqué quelque chose d’inhabituel sur les serveurs de l’État. Ils ont découvert un cheval de Troie d’accès à distance (RAT) développé pour les appareils FortiGate.
Ce qui est intéressant, c’est que ce logiciel malveillant « invisible » n’était pas destiné à accéder aux systèmes mais à maintenir l’accès en restant actif et persistant sur les appareils même après les redémarrages et les mises à jour.
Ce qu’ils ont finalement découvert, c’est une campagne de cyberespionnage chinoise qui était active au sein des systèmes nationaux depuis quelques mois en 2023. rapport publié en février 2024, c’était la première fois que le gouvernement néerlandais attribuait publiquement à Pékin un piratage informatique parrainé par l’État.
Après une enquête plus approfondie, un nouveau rapport en juin a révélé que la campagne, baptisée COATHANGER, avait été beaucoup plus répandue qu’on ne le pensait initialement. En quelques mois, entre 2022 et 2023, il a eu accès à plus de 20 000 unités dans le monde.
Au cours de cette « période zéro jour », 14 000 appareils ont été compromis. Les cibles comprenaient des dizaines de gouvernements occidentaux, d’institutions diplomatiques et d’entreprises de l’industrie de défense.
Alors que les gouvernements du monde entier s’efforcent de découvrir et de colmater l’infiltration, la question qui reste dans tous les esprits est la suivante : quelle quantité et quel type de données ont été compromises lors de la surveillance du libre accès par les pirates informatiques à travers des informations classifiées ?
Malgré l’ampleur potentielle de l’impact, la couverture médiatique de l’attaque a été limitée. Même si les médias ont largement parlé des attaques de Ransomware, le cyber-espionnage n’est tout simplement pas considéré comme un sujet brûlant pour plusieurs raisons. La préoccupation de Zeeman est que ce manque de sensibilisation et de surveillance pourrait avoir des conséquences néfastes à l’échelle mondiale.
Alors que les Ransomwares font la Une des journaux, le cyberespionnage reste dans l’ombre
Les entreprises victimes de ransomwares subissent non seulement un impact direct sur leurs résultats (en raison des paiements), mais également sur leur réputation, car les clients et les utilisateurs perdent confiance dans l’organisation.
D’une certaine manière, les ransomwares ont contribué à pousser la cyber-sécurité sur la liste des priorités des entreprises, estime Zeeman. « Ce que l’on constate, c’est que les gens ont commencé à investir dans la cybersécurité parce qu’ils ont peur des ransomwares. Mais il existe également une autre tendance, bien plus avancée.»
Aujourd’hui, n’importe qui peut devenir un hacker avec quelques outils standards que vous pouvez télécharger sur Internet, et beaucoup utilisent des tactiques rudimentaires rapides et sales. Les acteurs étatiques, en revanche, disposent d’un niveau d’expertise plus élevé et disposent parfois de ressources illimitées pour soutenir leurs activités. Ils créent leurs propres programmes et mènent même des analyses anti-légales, tout cela pour éviter d’être détectés.
Contrairement aux attaquants de ransomwares, qui visent à créer un maximum de perturbations, les acteurs étatiques font de grands efforts pour maintenir les opérations. « Il y a eu de nombreux cas où l’attaquant a pris des mesures pour garantir le bon fonctionnement du système », note Zeeman. « Ils ont apporté les modifications nécessaires pour empêcher la détection ou la défaillance du système, plutôt que de permettre à des erreurs ou des bugs de déclencher une réponse qui pourrait révéler leur présence. »
Cela signifie qu’une fois qu’ils y sont, ils le sont pour le long terme. Dans les cas de cyberespionnage sur lesquels il a enquêté, Zeeman et son équipe ont souvent découvert que ces acteurs étaient intégrés dans des systèmes depuis des mois, voire des années, leur permettant d’échanger des secrets tels que des informations IP, des propriétés intellectuelles, etc.
L’industrie néerlandaise des puces en plein essor la met sous les projecteurs
Les services de renseignement néerlandais ont qualifié la campagne COATHANGER de « partie d’une tendance d’espionnage politique chinois contre les Pays-Bas et ses alliés ».
Ces dernières années, les Pays-Bas sont devenus un petit pays parmi des géants. En tant que siège du fabricant de machines à semi-conducteurs ASML et du fabricant de puces NXP, il est impliqué dans une guerre des puces entre les États-Unis et la Chine, le premier faisant pression sur lui pour bloquer les ventes de machines avancéesainsi que réparations de machines existantes.
Plus tôt cette année, ASML a annoncé qu’elle serait en mesure de éteindre à distance ses machines basées à Taiwan en cas d’invasion chinoise, envoyant l’entreprise au milieu d’une impasse géopolitique. Un David entre deux Goliath.
Si leur industrie critique des semi-conducteurs n’est pas protégée contre le cyberespionnage, les Pays-Bas pourraient perdre non seulement leur propriété intellectuelle (PI), mais aussi leur influence politique.
Pourtant, début 2020, une enquête sur une activité suspecte a révélé qu’un groupe de hackers chinois « Chimera » avait accès aux systèmes de NXP depuis fin 2017. Au cours des deux années pendant lesquelles les pirates ont eu accès à ses serveurs, l’accent a été mis sur l’obtention de modèles de puces et le piratage de boîtes aux lettres contenant de grandes quantités d’informations sensibles.
Même s’il est difficile de savoir quelle quantité d’informations ont finalement été obtenues, il n’en demeure pas moins que la poursuite d’attaques comme celle-ci pourrait porter un coup majeur aux Pays-Bas et au L’Europe .
Se protéger contre le cyberespionnage : la réglementation pourrait être la clé
À l’heure actuelle, les acteurs du cyberespionnage se concentrent principalement sur les appareils de pointe (comme dans la campagne COATHANGER) et les outils de travail à distance, en particulier les solutions VPN SSL. Mais comme ces acteurs disposent de ressources illimitées, ils continueront à venir, exposant de nouvelles vulnérabilités lorsque d’autres seront découvertes.
Mais se prémunir contre le cyberespionnage coûte cher. « La seule façon de savoir que vous avez été victime d’une violation est de le vérifier périodiquement », explique Zeeman. Cela signifie que des évaluations de compromis doivent être entreprises tous les un à cinq ans en fonction de la sensibilité des données d’une entreprise ou d’une organisation.
« Le gouvernement devrait jouer davantage un rôle en guidant et en poussant les organisations à mener des enquêtes si leurs menaces impliquent d’être la cible de ces attaques avancées », ajoute Zeeman, affirmant qu’en raison des coûts qui y sont associés, les entreprises ne le feront pas. de leur propre gré. « Il est déjà obligatoire pour les entreprises de mettre en œuvre une cybersécurité décente avec NIS2 à venir, et le conseil d’administration en est tenu responsable, mais des contrôles réguliers ne sont pas obligatoires.
Cela est essentiel pour protéger les infrastructures critiques, comme les systèmes d’approvisionnement en eau, les banques, les hôpitaux, les ports, etc., mais aussi les industries clés. Alors que les Pays-Bas consacrent davantage d’argent aux subventions et aux incitations pour maintenir leurs géants des puces électroniques dans le pays, ils devraient également veiller à ce que ces entités protègent correctement la propriété intellectuelle des regards indiscrets.
Un autre problème est que ces cas sont souvent gardés sous le radar par les entreprises souhaitant garder secret le fait qu’ils ont été piratés. Habituellement, les entreprises avec lesquelles Zeeman a travaillé ont mis en place une NDA. Ainsi, si une équipe de cybersécurité découvre un cas de cyberespionnage, elle ne peut le partager avec des entités externes, comme les services de sécurité néerlandais, que si l’entreprise le leur permet. Cela signifie que les informations ne sont souvent pas partagées, même s’ils découvrent que les cyber-acteurs ont ainsi infiltré davantage de systèmes externes.
Lorsqu’on lui demande s’il devrait également être obligatoire de partager ce type d’informations avec les autorités, Zeeman hésite. Selon lui, cela pourrait créer trop de réactions négatives. Mais la mise en place d’un système standardisé de contrôles pour les entreprises et les secteurs que le pays apprécie le plus est vraiment essentielle.
Pourquoi l’Europe devrait s’inquiéter
Les fuites pourraient être critiques non seulement pour les Pays-Bas, mais aussi pour le marché européen au sens large, alors que le bloc cherche à ouvrir une procédure contre la Chine pour subventionnement des puces automobiles. L’Europe abrite trois des cinq plus grands producteurs : NXP, Infineon et STMicroelectronics. Si l’UE veut rester leader en tant que producteur de semi-conducteurs automobiles traditionnels, elle devra protéger la propriété intellectuelle de ses géants des puces.
Outre leur domination dans le domaine des puces, les Pays-Bas constituent un carrefour physique et numérique essentiel entre l’Europe et le reste du monde.
Le port de Rotterdam est la plus grande plaque tournante maritime d’Europe, ce qui le rend essentiel pour les chaînes d’approvisionnement à l’intérieur et à l’extérieur du continent. En janvier 2022, le groupe de hackers Ransomware as a Service Blackcat a attaqué 17 ports et terminaux pétroliers, dont le port de Rotterdam, avec une attaque de ransomware qui a redirigé les pétroliers, perturbant le chargement et le déchargement en plein hiver.
L’année dernière, le groupe hacktiviste serbo-russe NoName057(16) a fermé les sites Internet du port et de plusieurs autres ports aux Pays-Bas en réponse à la décision du gouvernement de livrer 8 chars Leopard 1 à l’Ukraine. Bien que ces attaques n’aient pas été menées par des groupes dirigés par l’État, elles représentent toutes deux des exemples de la manière dont la vulnérabilité du port pourrait être exploitée de manière malveillante.
De plus, les acteurs étatiques se tournent également vers les Pays-Bas pour ses réseaux et infrastructures numériques de haute qualité. Selon un Évaluation de la menace menée par le gouvernement en 2022, les serveurs néerlandais ont été utilisés dans un certain nombre de cyberattaques internationales. Dans de tels cas, les Pays-Bas « servent de tremplin à des attaques parrainées par l’État qui pourraient nuire à des pays tiers, y compris éventuellement à des alliés ».
COATHANGER doit son nom à un extrait de code du malware contenant une ligne de la nouvelle de Roald Dahl. Agneau à l’abattoir, dans lequel une femme a raccroché le manteau de son mari avant de l’assassiner avec un gigot d’agneau congelé. Apparaissant comme la veuve en deuil, elle échappe à toute détection en remettant l’arme du crime à la police.
La question est de savoir si les Pays-Bas utiliseront leur importance stratégique émergente comme levier pour exercer une pression sur la scène internationale ou si leur vulnérabilité au cyberespionnage en fera un gigot d’agneau congelé pour ses alliés et l’UE ?
août 2, 2024
Comment les Pays-Bas sont devenus une cible du cyberespionnage – et pourquoi l’Europe devrait s’inquiéter
L’idée d’espionnage évoque généralement des gadgets haut de gamme originaux, comme des parapluies qui se transforment en lasers et en lunettes à rayons X, des réunions clandestines matinales brumeuses ou des poursuites en bateau à grande vitesse dans des lieux exotiques et des déguisements élaborés. Aujourd’hui, la réalité est peut-être beaucoup moins sexy, mais bien plus efficace.
Parrainé par l’État les pirates ont des emplois de 9h à 17h, tout comme le reste d’entre nous. Ils ont des bureaux, des vacances et des discussions dans le café. Mais derrière leurs ordinateurs, ils mènent des campagnes pour infiltrer les systèmes du monde entier en capturant des données sensibles provenant de gouvernements, d’entreprises, d’infrastructures critiques ou même d’individus susceptibles d’avoir accès à ces données.
« Nous savons que la Chine, par exemple, possède une cyberarmée composée de dizaines de milliers de personnes et qu’elle pirate le monde chaque jour de manière très structurée avec des managers, des équipes et des stand-ups quotidiens », explique Willem, expert néerlandais en cybersécurité. Zeeman. « Tout est professionnel. »
Début 2024, alors qu’ils menaient une enquête en réponse à un incident, l’armée néerlandaise et les services de renseignement généraux ont remarqué quelque chose d’inhabituel sur les serveurs de l’État. Ils ont découvert un cheval de Troie d’accès à distance (RAT) développé pour les appareils FortiGate.
Le <3 de la technologie européenne
Les dernières rumeurs sur la scène technologique européenne, une histoire de notre sage vieux fondateur Boris et un art de l’IA discutable. C’est gratuit, chaque semaine, dans votre boîte de réception. S’inscrire maintenant!
Ce qui est intéressant, c’est que ce logiciel malveillant « invisible » n’était pas destiné à accéder aux systèmes mais à maintenir l’accès en restant actif et persistant sur les appareils même après les redémarrages et les mises à jour.
Ce qu’ils ont finalement découvert, c’est une campagne de cyberespionnage chinoise qui était active au sein des systèmes nationaux depuis quelques mois en 2023. rapport publié en février 2024, c’était la première fois que le gouvernement néerlandais attribuait publiquement à Pékin un piratage informatique parrainé par l’État.
Après une enquête plus approfondie, un nouveau rapport en juin a révélé que la campagne, baptisée COATHANGER, avait été beaucoup plus répandue qu’on ne le pensait initialement. En quelques mois, entre 2022 et 2023, il a eu accès à plus de 20 000 unités dans le monde.
Au cours de cette « période zéro jour », 14 000 appareils ont été compromis. Les cibles comprenaient des dizaines de gouvernements occidentaux, d’institutions diplomatiques et d’entreprises de l’industrie de défense.
Alors que les gouvernements du monde entier s’efforcent de découvrir et de colmater l’infiltration, la question qui reste dans tous les esprits est la suivante : quelle quantité et quel type de données ont été compromises lors de la surveillance du libre accès par les pirates informatiques à travers des informations classifiées ?
Malgré l’ampleur potentielle de l’impact, la couverture médiatique de l’attaque a été limitée. Même si les médias ont largement parlé des attaques de Ransomware, le cyber-espionnage n’est tout simplement pas considéré comme un sujet brûlant pour plusieurs raisons. La préoccupation de Zeeman est que ce manque de sensibilisation et de surveillance pourrait avoir des conséquences néfastes à l’échelle mondiale.
Alors que les Ransomwares font la Une des journaux, le cyberespionnage reste dans l’ombre
Les entreprises victimes de ransomwares subissent non seulement un impact direct sur leurs résultats (en raison des paiements), mais également sur leur réputation, car les clients et les utilisateurs perdent confiance dans l’organisation.
D’une certaine manière, les ransomwares ont contribué à pousser la cyber-sécurité sur la liste des priorités des entreprises, estime Zeeman. « Ce que l’on constate, c’est que les gens ont commencé à investir dans la cybersécurité parce qu’ils ont peur des ransomwares. Mais il existe également une autre tendance, bien plus avancée.»
Aujourd’hui, n’importe qui peut devenir un hacker avec quelques outils standards que vous pouvez télécharger sur Internet, et beaucoup utilisent des tactiques rudimentaires rapides et sales. Les acteurs étatiques, en revanche, disposent d’un niveau d’expertise plus élevé et disposent parfois de ressources illimitées pour soutenir leurs activités. Ils créent leurs propres programmes et mènent même des analyses anti-légales, tout cela pour éviter d’être détectés.
Contrairement aux attaquants de ransomwares, qui visent à créer un maximum de perturbations, les acteurs étatiques font de grands efforts pour maintenir les opérations. « Il y a eu de nombreux cas où l’attaquant a pris des mesures pour garantir le bon fonctionnement du système », note Zeeman. « Ils ont apporté les modifications nécessaires pour empêcher la détection ou la défaillance du système, plutôt que de permettre à des erreurs ou des bugs de déclencher une réponse qui pourrait révéler leur présence. »
Cela signifie qu’une fois qu’ils y sont, ils le sont pour le long terme. Dans les cas de cyberespionnage sur lesquels il a enquêté, Zeeman et son équipe ont souvent découvert que ces acteurs étaient intégrés dans des systèmes depuis des mois, voire des années, leur permettant d’échanger des secrets tels que des informations IP, des propriétés intellectuelles, etc.
L’industrie néerlandaise des puces en plein essor la met sous les projecteurs
Les services de renseignement néerlandais ont qualifié la campagne COATHANGER de « partie d’une tendance d’espionnage politique chinois contre les Pays-Bas et ses alliés ».
Ces dernières années, les Pays-Bas sont devenus un petit pays parmi des géants. En tant que siège du fabricant de machines à semi-conducteurs ASML et du fabricant de puces NXP, il est impliqué dans une guerre des puces entre les États-Unis et la Chine, le premier faisant pression sur lui pour bloquer les ventes de machines avancéesainsi que réparations de machines existantes.
Plus tôt cette année, ASML a annoncé qu’elle serait en mesure de éteindre à distance ses machines basées à Taiwan en cas d’invasion chinoise, envoyant l’entreprise au milieu d’une impasse géopolitique. Un David entre deux Goliath.
Si leur industrie critique des semi-conducteurs n’est pas protégée contre le cyberespionnage, les Pays-Bas pourraient perdre non seulement leur propriété intellectuelle (PI), mais aussi leur influence politique.
Pourtant, début 2020, une enquête sur une activité suspecte a révélé qu’un groupe de hackers chinois « Chimera » avait accès aux systèmes de NXP depuis fin 2017. Au cours des deux années pendant lesquelles les pirates ont eu accès à ses serveurs, l’accent a été mis sur l’obtention de modèles de puces et le piratage de boîtes aux lettres contenant de grandes quantités d’informations sensibles.
Même s’il est difficile de savoir quelle quantité d’informations ont finalement été obtenues, il n’en demeure pas moins que la poursuite d’attaques comme celle-ci pourrait porter un coup majeur aux Pays-Bas et au L’Europe .
Se protéger contre le cyberespionnage : la réglementation pourrait être la clé
À l’heure actuelle, les acteurs du cyberespionnage se concentrent principalement sur les appareils de pointe (comme dans la campagne COATHANGER) et les outils de travail à distance, en particulier les solutions VPN SSL. Mais comme ces acteurs disposent de ressources illimitées, ils continueront à venir, exposant de nouvelles vulnérabilités lorsque d’autres seront découvertes.
Mais se prémunir contre le cyberespionnage coûte cher. « La seule façon de savoir que vous avez été victime d’une violation est de le vérifier périodiquement », explique Zeeman. Cela signifie que des évaluations de compromis doivent être entreprises tous les un à cinq ans en fonction de la sensibilité des données d’une entreprise ou d’une organisation.
« Le gouvernement devrait jouer davantage un rôle en guidant et en poussant les organisations à mener des enquêtes si leurs menaces impliquent d’être la cible de ces attaques avancées », ajoute Zeeman, affirmant qu’en raison des coûts qui y sont associés, les entreprises ne le feront pas. de leur propre gré. « Il est déjà obligatoire pour les entreprises de mettre en œuvre une cybersécurité décente avec NIS2 à venir, et le conseil d’administration en est tenu responsable, mais des contrôles réguliers ne sont pas obligatoires.
Cela est essentiel pour protéger les infrastructures critiques, comme les systèmes d’approvisionnement en eau, les banques, les hôpitaux, les ports, etc., mais aussi les industries clés. Alors que les Pays-Bas consacrent davantage d’argent aux subventions et aux incitations pour maintenir leurs géants des puces électroniques dans le pays, ils devraient également veiller à ce que ces entités protègent correctement la propriété intellectuelle des regards indiscrets.
Un autre problème est que ces cas sont souvent gardés sous le radar par les entreprises souhaitant garder secret le fait qu’ils ont été piratés. Habituellement, les entreprises avec lesquelles Zeeman a travaillé ont mis en place une NDA. Ainsi, si une équipe de cybersécurité découvre un cas de cyberespionnage, elle ne peut le partager avec des entités externes, comme les services de sécurité néerlandais, que si l’entreprise le leur permet. Cela signifie que les informations ne sont souvent pas partagées, même s’ils découvrent que les cyber-acteurs ont ainsi infiltré davantage de systèmes externes.
Lorsqu’on lui demande s’il devrait également être obligatoire de partager ce type d’informations avec les autorités, Zeeman hésite. Selon lui, cela pourrait créer trop de réactions négatives. Mais la mise en place d’un système standardisé de contrôles pour les entreprises et les secteurs que le pays apprécie le plus est vraiment essentielle.
Pourquoi l’Europe devrait s’inquiéter
Les fuites pourraient être critiques non seulement pour les Pays-Bas, mais aussi pour le marché européen au sens large, alors que le bloc cherche à ouvrir une procédure contre la Chine pour subventionnement des puces automobiles. L’Europe abrite trois des cinq plus grands producteurs : NXP, Infineon et STMicroelectronics. Si l’UE veut rester leader en tant que producteur de semi-conducteurs automobiles traditionnels, elle devra protéger la propriété intellectuelle de ses géants des puces.
Outre leur domination dans le domaine des puces, les Pays-Bas constituent un carrefour physique et numérique essentiel entre l’Europe et le reste du monde.
Le port de Rotterdam est la plus grande plaque tournante maritime d’Europe, ce qui le rend essentiel pour les chaînes d’approvisionnement à l’intérieur et à l’extérieur du continent. En janvier 2022, le groupe de hackers Ransomware as a Service Blackcat a attaqué 17 ports et terminaux pétroliers, dont le port de Rotterdam, avec une attaque de ransomware qui a redirigé les pétroliers, perturbant le chargement et le déchargement en plein hiver.
L’année dernière, le groupe hacktiviste serbo-russe NoName057(16) a fermé les sites Internet du port et de plusieurs autres ports aux Pays-Bas en réponse à la décision du gouvernement de livrer 8 chars Leopard 1 à l’Ukraine. Bien que ces attaques n’aient pas été menées par des groupes dirigés par l’État, elles représentent toutes deux des exemples de la manière dont la vulnérabilité du port pourrait être exploitée de manière malveillante.
De plus, les acteurs étatiques se tournent également vers les Pays-Bas pour ses réseaux et infrastructures numériques de haute qualité. Selon un Évaluation de la menace menée par le gouvernement en 2022, les serveurs néerlandais ont été utilisés dans un certain nombre de cyberattaques internationales. Dans de tels cas, les Pays-Bas « servent de tremplin à des attaques parrainées par l’État qui pourraient nuire à des pays tiers, y compris éventuellement à des alliés ».
COATHANGER doit son nom à un extrait de code du malware contenant une ligne de la nouvelle de Roald Dahl. Agneau à l’abattoir, dans lequel une femme a raccroché le manteau de son mari avant de l’assassiner avec un gigot d’agneau congelé. Apparaissant comme la veuve en deuil, elle échappe à toute détection en remettant l’arme du crime à la police.
La question est de savoir si les Pays-Bas utiliseront leur importance stratégique émergente comme levier pour exercer une pression sur la scène internationale ou si leur vulnérabilité au cyberespionnage en fera un gigot d’agneau congelé pour ses alliés et l’UE ?
Source link
Partager :
Articles similaires