Nomenclature des acteurs de la menace par KrakenLabs
KrakenLabs a développé une nouvelle nomenclature qui utilise les noms des plantes vénéneuses pour désigner l’origine et le type d’activités criminelles des cyberattaquants. Cette approche est un moyen créatif de classer les différents types d’acteurs de la menace et permet aux professionnels de la sécurité de comprendre rapidement la nature et le comportement des hackers – ce qui est toujours utile pour identifier et atténuer les menaces de manière efficace.
Nomenclature des acteurs de la menace
Une nomenclature normalisée est essentielle pour l’identification et la classification des données de renseignement relatives aux menaces. Elle permet aux fournisseurs de mieux communiquer les informations sur les menaces afin que les autres professionnels de la sécurité puissent réagir rapidement et efficacement. Dans cet article de blog, nous allons vous présenter la méthodologie de nommage utilisée par KrakenLabs, l’équipe de Threat Intelligence d’Outpost24, afin de générer des profils types, ainsi que le raisonnement qui sous-tend cette approche.
Profils centrés sur les capacités
KrakenLabs utilise plusieurs méthodologies et modèles pour mener des enquêtes sur les menaces, en premier lieu desquels figurent le cadre ATT&CK de MITRE et le Diamond Model of Intrusion Analysis. Ces méthodologies autorisent plusieurs concepts d’analyse d’intrusion, appelés approches « centrées », puisqu’elles sont justement centrées sur des caractéristiques spécifiques du Diamond Model. Ces caractéristiques spécifiques comprennent les capacités, l’infrastructure, les adversaires, les technologies et d’autres dimensions des acteurs de la menace.
Compte tenu de la nature dynamique et en constante évolution des infrastructures d’attaque et des individus qui les animent, s’appuyer uniquement sur cette approche pour protéger nos clients ne serait pas suffisant. Dans le cadre de notre rôle dans la chaîne de la Threat Intelligence, nous analysons et établissons également le profil des acteurs de la menace en collectant des données et en examinant les incidents d’un point de vue externe. Notre profilage se concentre sur les capacités des adversaires, que nous adaptons des tactiques, techniques et procédures (TTP) de MITRE ATT&CK.
Afin de toujours mieux protéger nos clients, nous avons adopté une approche centrée sur les capacités. Elle consiste à exploiter les caractéristiques d’une capacité pour découvrir d’autres aspects des opérations menées par l’adversaire. Il s’agit notamment de découvrir les victimes ciblées par la capacité, l’infrastructure qui la soutient, la technologie qui lui permet de fonctionner et d’autres indices potentiels sur d’autres capacités et adversaires connexes.
Pourquoi utiliser nos propres noms d’acteurs de la menace ?
Personne n’ignore que chaque organisation bénéficie d’un accès propre à des ensembles de données et de télémétrie, que d’autres ne détiennent pas forcément. Cela signifie que les organisations créent et définissent souvent leurs propres groupes de manière différente, ce qui conduit à l’identification de groupes de menace uniques.
Plusieurs facteurs contribuent à cette divergence dans la définition des groupes et dans l’identification des acteurs potentiels de la menace, en particulier les différences dans l’architecture du réseau, dans les méthodes de collecte des données et dans la sélection des sources de données. Il est donc impératif que les analystes de la sécurité comprennent l’approche et le point de vue propre à chaque organisation lors de l’analyse et du profilage deshackers. Cela nous permet d’avoir une compréhension plus complète des menaces globales et d’améliorer notre capacité à nous défendre contre celles émergentes.
Notre perspective et notre approche de l’investigation des acteurs de la menace étant uniques, il est donc essentiel de s’assurer que le lecteur comprenne bien que le profil qu’il est en train de découvrir est généré à partir de notre point de vue. Bien que ce profil puisse se rapprocher de celui d’acteurs de la menace examinés par d’autres organisations, nous pensons qu’ils possèdent des capacités similaires. Par exemple, Prophet Spider de CrowdStrike et UNC961 de Mandiant partagent les mêmes capacités. Plusieurs incidents documentés par Sophos, ayant utilisé la vulnérabilité Log4J contre VMware Horizon, présentent également les mêmes capacités et la même infrastructure, bien qu’il n’y ait pas d’association directe avec ces groupes. D’une certaine manière, se protéger contre l’un d’entre eux peut contribuer à la détection et à l’atténuation des risques causés par d’autres menaces.
C’est pourquoi nous utilisons cette approche et attribuons un nom distinct rassemblant des acteurs de la menace en fonction de leurs capacités.
Les plantes vénéneuses en tant qu’acteurs de la menace
L’équipe KrakenLabs a développé une nouvelle nomenclature unique qui utilise les noms de plantes vénéneuses afin de représenter l’origine et les activités criminelles des hackers. Cette approche permet de classer et d’identifier de manière créative les différents types d’acteurs de la menace.
La nomenclature de KrakenLabs associe un adjectif à un nom de plante vénéneuse pour identifier chaque acteur de la menace. Ils se voient attribuer un adjectif unique, choisi en rapport avec ses TTP. Cela permet aux professionnels de la sécurité de déterminer quasi-immédiatement la nature et le comportement d’un acteur malveillant, ce qui constitue un outil précieux pour identifier et atténuer les menaces de manière efficace.
Les aconits
L’aconit est une plante vénéneuse aux magnifiques fleurs bleues, reconnue pour sa toxicité et utilisée dans la médecine traditionnelle chinoise depuis des siècles. Elle représente un acteur puissant et sophistiqué pouvant causer de graves dommages à ses cibles. Les acteurs chinois de la menace sont représentés par cette plante car elle symbolise leurs capacités sophistiquées et dévastatrices.
Exemple : Un cybercriminel soutenu par la Chine pourra être identifié comme « l’aconit chirurgical » en raison de ses attaques précises et calculées, conçues pour atteindre des objectifs spécifiques avec un minimum de dommages collatéraux.
Beshenitsa
La Beshenitsa représente les acteurs de la menace russes, connus pour leur comportement agressif et imprévisible. Cette plante très toxique est utilisée pour décrire un hacker très efficace dans l’exécution d’attaques nuisibles. Les russes utilisent leurs compétences pour mener à bien toute une série d’activités malveillantes, notamment l’espionnage, les cyberattaques et les campagnes de désinformation. La Beshenitsa nous sert à représenter de façon appropriée un acteur malveillant difficile à prévoir, mais capable de causer des dommages importants parmi ses cibles.
Exemple : Un groupe parrainé par l’État russe peut être qualifié de « Deceptive Beshenitsa » en raison de sa capacité à manipuler et à tromper ses cibles, en utilisant souvent l’ingénierie sociale et d’autres tactiques psychologiques.
Churihyang
« Churihyang » est en fait le nom coréen de la plante Daphné odora et signifie « un parfum de mille lieues » car, à la fin de l’hiver, ses fleurs roses et blanches peuvent être senties avant d’être vues. Cependant, toutes les parties de la plante, y compris ses baies, sont toxiques en cas d’ingestion. Elle peut servir à qualifier un hacker nord-coréen, imprévisible et potentiellement dangereux, tout en ayant une approche subtile et attirante.
Exemple : Un groupe malveillant nord-coréen peut être qualifié de « Churihyang agressif » en raison de ses attaques audacieuses et souvent violentes.
Nightshade ou Belladone
L’Atropa belladonna, communément appelée belladone ou « morelle furieuse », est une plante herbacée vivace, hautement toxique, que l’on trouve en Europe, en Afrique du Nord et en Asie occidentale, notamment en Iran. L’acteur iranien peut être représenté par cette plante car il est connu pour ses opérations furtives et secrètes, opérant souvent dans l’ombre pour atteindre ses objectifs. Les toxines imprévisibles et puissantes représentent un cibercriminel difficile à prévoir et capable de causer des dommages importants.
Exemple : Un acteur parrainé par l’Iran peut être qualifié de « Stealthy Nightshade » en raison de sa tendance à opérer dans l’ombre et à utiliser des techniques d’infiltration sophistiquées pour atteindre ses objectifs.
Datura
Le Datura, plante à fleurs que l’on trouve en Inde, est hautement toxique en raison de sa teneur en alcaloïdes et connue pour ses propriétés hallucinogènes. Utilisée dans la médecine traditionnelle indienne, elle l’est également comme drogue récréative et est associée au folklore et à la mythologie indiens. Son nom évoque un sentiment de danger et de mysticisme qui correspond aux attaques complexes et sens du secret des acteurs de la menace. Le Datura est associé à la sorcellerie et à la magie dans le folklore indien, ce qui le rend encore plus approprié pour qualifier les hackers indiens.
Exemple : Un acteur de la menace indien peut être identifié comme « Social Datura » en raison de son recours à des tactiques d’ingénierie sociale pour manipuler et tromper ses cibles.
Oleanders ou Laurier-rose
Les Lauriers-roses représentent les groupes criminels des pays arabes en tant que plante vénéneuse que l’on trouve communément dans la région méditerranéenne. Cette plante est utilisée pour décrire un acteur de la menace très doué pour la tromperie, qui se déguise souvent pour se fondre dans son environnement. Les Lauriers-roses ont des fleurs roses ou blanches et des feuilles vertes brillantes, et toutes les parties de la plante sont hautement toxiques en cas d’ingestion, car elles contiennent de l’oléandrine, un hétérocide cardiotonique pouvant avoir de graves conséquences sur la santé, voire même entraîner la mort.
Exemple : Les hackers des pays arabes peuvent être identifiés comme des « lauriers-roses rentables » parce qu’ils se concentrent sur le gain financier et la cybercriminalité à des fins lucratives.
Hacktivisme et cyberterrorisme : le ricin
Le ricin sert à représenter les acteurs de la menace motivés par l’idéologie et connus pour leurs actions subversives et potentiellement dangereuses, comme les groupes d’hacktivisme et les cyberterroristes. Le Ricinus communis, également connu sous le nom de ricin commun, est l’une des plus anciennes plantes vénéneuses connues. La ricine contenue dans les graines de la plante est hautement toxique et provoque la mort en quelques heures après avoir été inhalée ou consommée. Cette toxine est tristement célèbre pour avoir été utilisée par les terroristes dans leurs bombes chimiques. Les propriétés toxiques de la plante en ont fait un symbole de subversion, de danger et de terreur, ce qui correspond aux objectifs de nombreux acteurs de la menace hacktiviste et cyberterroriste.
Exemple : Un hacktiviste peut être qualifié de « Ricin disruptif » en raison de sa tendance à utiliser des tactiques disruptives comme les attaques DDoS pour atteindre ses objectifs.
Ransomware : Wolfsbane ou Aconit tue-loup
L’aconit tue-loup, Wolfsbane en anglais, représente les acteurs malveillants de ransomware qui utilisent un cryptage sophistiqué pour prendre en otage les données de leurs victimes. Cette plante hautement toxique est utilisée pour qualifier un acteur de la menace très efficace dans ses attaques par ransomware. Ces derniers utilisent leurs compétences pour crypter les données des victimes et exiger le paiement d’une rançon. L’aconit peut symboliser un hacker qui cherche à prendre en otage les données des victimes, de la même manière que la plante prend le corps en otage lorsqu’elle est ingérée. Cela pourrait en faire un nom mémorable et distinctif pour un groupe de ransomware, ce qui est important dans le marché encombré et concurrentiel des acteurs de la menace.
Exemple : Un groupe de ransomwares peut être qualifié d’« Extortionist Wolfsbane » en raison de son utilisation du chiffrement et du verrouillage des cibles pour extorquer le paiement d’une rançon.
IAB : Foxglove ou Digitale
La digitale représente les acteurs de la menace IAB (Initial Access Brokers), spécialistes de la vente ou l’échange d’accès à des systèmes informatiques compromis. Cette plante à fleurs très toxique est utilisée pour décrire un hacker très efficace pour compromettre des systèmes informatiques et ensuite utiliser cet accès pour causer des dommages. Ils sont spécialisés dans l’obtention d’un accès initial aux systèmes informatiques, puis dans la vente de cet accès à d’autres acteurs malveillants. Ce processus peut être très perturbant et coûteux pour les entreprises et les particuliers. La digitale est une analogie appropriée pour un acteur de la menace qui cherche à compromettre les systèmes informatiques de la même manière que la consommation de la plante compromet la sécurité de l’organisme et finit par attaquer le cœur.
Exemple : L’acteur de la menace « Prophet Spider » ou « UNC961 » a été surnommé « Pawning Foxglove », car il vendait fréquemment des accès à des machines vulnérables à l’aide d’exploits connus. Un peu comme si un cambrioleur vendait des objets volés à un prêteur sur gages.
Cybercriminels : Hemlock ou la ciguë
Les cybercriminels sont des individus ou des groupes se livrant au piratage informatique dans un but lucratif, souvent en dérobant des informations personnelles, des numéros de carte de crédit ou des éléments de propriété intellectuelle. La ciguë, plante toxique contenant de la conine – un alcaloïde toxique dans toutes ses parties – peut avoir des effets mortels sur le système nerveux à fortes doses. La toxicité de la conine a été largement étudiée chez le bétail, avec de nombreux cas de décès d’animaux suite à des empoisonnements par la ciguë, en raison de la croissance rapide de la plante et de sa présence dans les pâturages. Son impact sur le secteur de l’élevage a été considérable. Le recours au nom « ciguë » pour décrire les cybercriminels semble approprié car ils ont en commun un impact négatif sur leurs industries respectives ; alors que la cybercriminalité affecte principalement les entreprises, la ciguë peut être dévastatrice pour le secteur de l’élevage.
Exemple : Un hacking-as-a-Service-group peut être qualifié de « Ciguë innovante » en raison de son utilisation de vulnérabilités zéro-day pour exploiter le serveur public de ses victimes.
Conclusion
L’utilisation d’une nomenclature cohérente et normalisée est essentielle dans le secteur du renseignement sur les menaces pour identifier et classer facilement les différents types de menaces. KrakenLabs utilise une approche centrée sur les capacités, en se concentrant sur les capacités, l’infrastructure, les technologies et autres caractéristiques des adversaires. Bien que chaque organisation dispose d’un accès propre aux données et à la télémétrie, il est impératif pour les analystes de sécurité de comprendre l’approche unique et le point de vue des différentes organisations lors de l’analyse et du profilage des acteurs de la menace.
KrakenLabs a développé une nouvelle nomenclature qui utilise des plantes vénéneuses pour représenter l’origine et les activités criminelles des différents cybercriminels. Cette approche propose un moyen créatif de classer ces différents types d’acteurs malveillants, permettant aux professionnels de la sécurité de comprendre rapidement leur nature et leur comportement – ce qui est utile pour identifier et atténuer les menaces de manière efficace. L’utilisation de noms de plantes vénéneuses pour représenter les caractéristiques de chaque acteur de la menace, combinée à l’approche centrée sur les capacités de KrakenLabs, améliore notre aptitude à nous défendre contre les menaces émergentes. Découvrez Threat Compass, notre solution de veille sur les cybermenaces.