Les entreprises ne sont pas les seules touchées par des piratages, les Etats et en particulier les instances gouvernementales sont des cibles privilégiées par les cybercriminels. Selon un rapport de l’éditeur CloudSek, le nombre d'attaques ayant visé le secteur gouvernemental a bondi de 95 % dans le monde par rapport à la même période en 2021. « Cette augmentation des attaques résulte à la fois de la numérisation rapide et du passage au télétravail imposés par la pandémie, deux facteurs qui ont élargi la surface d'attaque des entités gouvernementales et ouvert la voie à des actions de cyberguerre toujours plus nombreuses de la part d’acteurs étatiques », estime l’étude. Les administrations centrales collectent et stockent d'énormes quantités de données, dont des informations sur les citoyens qui peuvent être revendues sur le dark web. Un autre risque de ces cyberattaques, c’est que des données relatives à la sécurité nationale et à l'armée soient utilisées par des organisations terroristes.
Augmentation de l'hacktivisme et des ransomwares
En 2022, l'activité dite hacktiviste, c’est-à-dire, le piratage à des fins politiques, et celle des groupes de ransomware, toutes deux en augmentation, représentaient respectivement environ 9 et 6 % du total des incidents enregistrés signalés dans le secteur gouvernemental. Selon le rapport, LockBit, a été l'opérateur de ransomware le plus important. Le nombre d'attaques soutenues par des Etats s'est également multiplié. Cette augmentation est due à l'avènement d'offres telles que les courtiers à accès initial ou Initial Access Brokers (IAB) et d’offres de type ransomwares-as-a-service (RaaS).
« Ces statistiques montrent bien que les cyberattaques dans ce secteur particulier ne sont plus exclusivement motivées par l’argent, mais utilisées désormais comme un moyen d'exprimer le soutien ou l'opposition à certains événements et positions politiques, religieuses ou même économiques », indique le rapport. « Les acteurs de la menace ont commencé à développer et à promouvoir des services d'infrastructure criminelle spécialisée qui peuvent être achetés par des gouvernements ou des particuliers et utilisés à des fins malveillantes diverses », ajoute le rapport. Parallèlement, selon IBM, entre mars 2021 et mars 2022, le coût total moyen d'un incident de sécurité dans le secteur public est passé de 1,93 million de dollars à 2,07 millions de dollars, soit une augmentation de 7,25 %.
KelvinSecurity et AgainstTheWest, plus importants acteurs de la menace
Selon Cloudsek, l’an dernier, KelvinSecurity et AgainstTheWest ont été les deux acteurs de la menace les plus en vue. Ces deux groupes avaient également tenu le haut du pavé en 2021. Opérant sous le pseudonyme de Kristina, KelvinSecurity utilise le fuzzing ciblé et exploite des vulnérabilités communes. Ce gang partage ses outils gratuitement et vise des victimes ayant des technologies ou des infrastructures sous-jacentes communes. Dans les forums et sur Telegram, il partage des informations sur les derniers exploits, les cibles et les données dérobées. « Il dispose aussi d’un site Web de fuite de données où d'autres acteurs de la menace peuvent partager des bases de données », indique encore le document de CloudSek
Pour ce qui est de AgainstTheWest, le gang a démarré ses opérations en octobre 2021 et s'identifie comme APT49 ou BlueHornet. Il se concentre sur l'exfiltration de données spécifiques à une région et à leur vente sur le dark web. Plusieurs campagnes sont à son actif comme les opérations Renminbi, Ruble et EUSec, qui visaient différents pays. Ce groupe collabore également avec différents acteurs de la menace. « Une source confidentielle en contact avec le groupe AgainstTheWest a précisé que celui-ci exploitait les vulnérabilités zero day de SonarQube et Swagger UI », rapporte CloudSek. SonarQube est un outil open source de SonarSource qui automatise les inspections de code. Quant à Swagger, il s’agit d’un ensemble d'outils pour les développeurs d'API de SmartBear Software.
L'Inde, les États-Unis et la Chine, pays les plus visés
Au cours des deux dernières années, l'Inde, les États-Unis, l'Indonésie et la Chine ont été les pays les plus ciblés, puisqu’ils représentaient 40 % du total des incidents signalés dans le secteur public. Les opérations contre le gouvernement chinois ont été principalement attribuées à des groupes APT. « La campagne Operation Renminbi de AgainstTheWest était à l’origine de près de 96 % des attaques contre la Chine », note encore le rapport. L'opération a débuté en représailles aux activités de la Chine contre Taïwan et la communauté ouïghoure. Les allégations selon lesquelles la Chine serait responsable du déclenchement de la pandémie ont également contribué à l'augmentation des attaques.
En 2022, le gouvernement indien a été le plus fréquemment visé par des campagnes #OpIndia et #OpsPatuk du groupe d’hacktivistes Dragon Force Malaysia. Plusieurs groupes d’hacktivistes ont rejoint et soutenu ces campagnes, conduisant à d'autres attaques. « Les agences gouvernementales en Inde sont devenues des cibles courantes de vastes campagnes de phishing », fait remarquer le rapport. Après l'attaque de l'Ukraine par la Russie, plusieurs acteurs et activistes épaulés par des Etats ont montré leur soutien à l'Ukraine en attaquant la Russie. Ces opérations ont augmenté de plus de 600 % au cours de l'année, le gouvernement russe étant devenu le cinquième secteur public le plus ciblé en 2022. « Pour prévenir les attaques futures, les agences gouvernementales doivent passer à un modèle zero trust, selon lequel aucun utilisateur ou appareil n'est digne de confiance, qu'il soit à l'intérieur ou à l'extérieur du réseau, et vérifie de manière proactive l'authenticité de l'activité des utilisateurs », préconise CloudSek.