La cybersécurité dans le secteur de la défense est plus que jamais menacée. Une récente alerte de la Google Threat Intelligence Group (GTIG) met en lumière une série d’attaques informatiques sophistiquées menées par des groupes liés à la Chine, l’Iran, la Russie et la Corée du Nord. Ces acteurs malveillants ciblent directement les technologies militaires, les personnels de la défense et leurs chaînes d’approvisionnement. Une recherche Google comme « groupes russes piratage défense » ou « cyberattaques Chine secteur militaire » renverrait désormais vers cette inquiétante réalité. L’écosystème industriel de défense (DIB) est devenu un champ de bataille numérique global, où se croisent espionnage, sabotage et manipulation d’informations sensibles.
Une stratégie offensive coordonnée menée par des États et des groupes hacktivistes
Technologies déployées sur le champ de bataille visées
La guerre en Ukraine reste un catalyseur important des attaques cyber contre l’industrie militaire. Des entités comme APT44 (alias Sandworm), actives sur le terrain, ont accédé physiquement à des dispositifs pour extraire des données des messageries chiffrées telles que Signal et Telegram. À titre d’exemple, un script Windows nommé WAVESIGN a permis le piratage de l’application Signal sur poste Windows.
Des groupes liés à la Russie comme UNC5125 ont ciblé les unités de drones ukrainiennes. Ils ont utilisé des questionnaires hébergés sur Google Forms à des fins de reconnaissance, puis distribué des malwares comme MESSYFORK via des applications de messagerie. Le groupe a également propagé un trojan Android appelé GREYBATTLE, version modifiée de Hydra, pour voler données et identifiants.
Ingénierie sociale et infiltration via le recrutement
Des cyberattaques ont également été détectées dans les processus de recrutement. La campagne Operation Dream Job du groupe nord-coréen Lazarus (UNC2970) s’est attaquée aux employés du secteur aéronautique et de l’énergie. Ces campagnes utilisent des fausses offres d’emploi pour inciter les cibles à télécharger des malwares ou divulguer des informations confidentielles.
Le groupe iranien UNC6446, via de fausses applications de tests de personnalité, a diffusé des malwares personnalisés vers des cibles américaines et moyen-orientales. Ces méthodes d’ingénierie sociale dans la cybersécurité rappellent les scénarios décrits dans notre livre pour apprendre à hacker, qui décrypte les techniques de manipulation numérique utilisées dans l’espionnage moderne.
Exploitation des failles techniques et des équipements périphériques
Vecteurs d’accès via périphériques et chaînes d’approvisionnement
Les groupes chinois exploitent des appareils périphériques comme vecteurs initiaux d’intrusion. UNC6508 a ciblé une institution de recherche américaine via une faille REDCap, y injectant un malware nommé INFINITERED permettant un accès persistant à distance et le vol de mots de passe.
UNC3236, également connu sous le nom Volt Typhoon, a mené des opérations de reconnaissance sur les portails de connexion de contractants de défense nord-américains en dissimulant leur activité à l’aide du framework d’obfuscation ARCMAZE.
L’espionnage traverse également les frontières industrielles. APT5, surnommé Keyhole Panda, a utilisé des lures d’hameçonnage personnalisés visant d’anciens employés de l’aéronautique, semant des backdoors dans les systèmes ciblés.
Espionnage via applications de messagerie sécurisées
Des groupes russes comme UNC5792 et UNC4221 ont ciblé les forces ukrainiennes via une exploitation avancée des fonctionnalités de Signal. L’un déployait un malware Android imitant la plateforme militaire DELTA pour voler des cookies et contourner les protections. Ils utilisaient également des droppers comme TINYWHALE pour installer des outils de contrôle à distance via MeshAgent.
Notons que UNC5976 et UNC6096 ont mené des campagnes via WhatsApp, diffusant des malwares Android derrière des thématiques militaires. L’un d’eux, GALLGRAB, a collecté fichiers, contacts et données chiffrées à partir d’applications spécialisées dans la guerre électronique.
Une tendance à l’évitement des solutions de détection
Ciblage individuel et contournement des systèmes EDR
Les acteurs malveillants adaptent désormais leurs attaques pour contourner les outils de détection Endpoint Detection and Response (EDR). Plutôt que d’attaquer des serveurs entiers, ils ciblent aujourd’hui des terminaux individuels et des utilisateurs identifiés afin de minimiser leur exposition.
Google souligne que certains acteurs comme APT43, affiliés à la Corée du Nord, ont utilisé une infrastructure imitant des entités de défense allemandes et américaines pour insérer un malware du nom de THINWAVE. Ces techniques s’inscrivent dans une dynamique où l’anonymisation des attaques devient la norme dans l’espionnage cyber.
Attaques coordonnées sur les chaînes de fabrication
Que ce soit via l’exploitation de failles dans des équipements ou des campagnes de rançongiciel, les acteurs menacent également la dimension industrielle. Ces cyberattaques sur la chaîne logistique rendent vulnérables les entreprises qui alimentent le secteur de la défense, tant en termes de pièces que de logiciels.
Si votre entreprise est active dans les secteurs sensibles de l’aéronautique ou de la défense, il est primordial de renforcer vos protocoles de sécurité informatique. CyberCare propose des services de cybersécurité adaptés à ces menaces modernes et vous accompagne dans le renforcement de vos défenses face à ces attaques ciblées et étatiques.
