Afin de lutter contre les pirates, vous devez savoir comment ils fonctionnent. Qu'est-ce qu'ils font vraiment?
La plupart des hacks suivent la Lockheed Martin Cyber Kill Chain, un cadre de renseignement développé pour identifier et prévenir les cyberattaques. Le processus commence par obtenir des informations sur une cible potentielle et se termine par le vol de données précieuses. Quelles sont donc les étapes par lesquelles passent les cybercriminels lorsqu'ils piratent un système ?
La chaîne Cyber Kill de Lockheed Martin
Bien qu'il existe des variantes au processus, les pirates suivent généralement le Lockheed Martin Cyber Kill Chaîne dans leur quête pour trouver qui pirater et mener une attaque. La Kill Chain comprend sept étapes.
1. Les pirates recherchent et récoltent des informations
La première étape d'une cyberattaque est la reconnaissance ou la détection de la cible. Cela implique généralement de collecter des informations accessibles au public sur une cible potentielle, notamment des adresses e-mail, des noms d'utilisateur de réseaux sociaux et des archives publiques.
Ils peuvent obtenir ces informations à partir de fuites de données ou en faisant le gros du travail s'ils sont intéressés par une personne en particulier. Dans ce dernier cas, ils peuvent recourir à des méthodes plus sophistiquées comme un Attaque Bluetooth ou intercepter le réseau, également appelé un Attaque de l'homme du milieu (MITM). Alors que le premier nécessite que le pirate soit à proximité de la cible, le second peut être effectué à distance à l'aide d'un logiciel ou sur site en interceptant le Wi-Fi de la victime.
Le but ultime est d'en apprendre le plus possible sur les cibles, les appareils qu'elles utilisent, les systèmes d'exploitation des appareils et les services qu'elles utilisent, entre autres. Les informations qu'ils obtiennent ici peuvent les aider à trouver des vulnérabilités.
Cette étape est appelée "militarisation" dans la Cyber Kill Chain. Armés d'informations sur leurs cibles potentielles, les pirates assemblent les outils dont ils auront besoin pour la cyberattaque. Ils peuvent, par exemple, créer et masquer des logiciels malveillants dans des fichiers que leur cible est susceptible de télécharger.
Vous pouvez penser à cette étape comme aller à la pêche. L'équipement dont vous aurez besoin pour pêcher dans un lac d'eau douce sera différent de l'équipement dont vous aurez besoin pour pêcher dans l'océan. Vous iriez probablement avec un autre bateau aussi.
3. Les pirates lancent leur filet ou leur appât
Cette étape est appelée "livraison" dans la Kill Chain. Cette étape consiste à inciter la cible à télécharger le logiciel malveillant, invitant essentiellement les méchants dans la forteresse.
Pour ce faire, les pirates informatiques envoient des e-mails contenant des fichiers malveillants. La méthode de livraison peut également être des images hébergeant le logiciel malveillant, comme on le voit lorsque les pirates ont exploité le Images du télescope James Webb pour propager des logiciels malveillants. L'injection SQL est un autre moyen courant pour les pirates de diffuser des logiciels malveillants.
De toute façon, l'objectif est d'amener la cible à télécharger des logiciels malveillants sur son appareil. Le malware prend le relais à partir d'ici: il s'extrait automatiquement et l'injecte dans le système.
4. Un logiciel malveillant exploite une vulnérabilité du système
Le logiciel malveillant prend le relais une fois qu'il est sur l'ordinateur de la cible. Certaines actions d'arrière-plan, comme Lecture automatique USB ou multimédia, peut déclencher l'extraction et l'exécution automatiques du logiciel malveillant sur l'appareil de la victime. Cette étape est appelée « exploitation ».
5. Les logiciels malveillants font ce pour quoi ils sont programmés
Cette phase de la Kill Chain est appelée "installation". Une fois que le logiciel malveillant pénètre dans le système (ou le réseau informatique), il s'installe silencieusement en arrière-plan, généralement à l'insu de la victime. Ensuite, il commence à rechercher les vulnérabilités dans le système qui accordera au pirate des privilèges d'administrateur plus élevés.
Le logiciel malveillant établit également un système de commande et de contrôle avec le pirate. Ce système permet au pirate de recevoir des mises à jour régulières sur la progression du piratage. Pour mettre les choses en perspective, imaginez le système de commandement et de contrôle comme un officier militaire de haut rang qui est en fait un espion. La position de l'espion les met dans un endroit pour accéder à des secrets militaires sensibles. Ce statut les rend également prêts à collecter et à envoyer des renseignements volés sans suspicion.
6. Le système d'espionnage des pirates prend le relais et se développe
Le logiciel malveillant à ce stade fait plusieurs choses pour établir son système de commande et de contrôle, également éponyme pour la sixième étape de la Kill Chain. En règle générale, il continue d'analyser le système à la recherche de vulnérabilités. Il peut également créer les pirates de portes dérobées peuvent utiliser d'entrer dans le système si la victime découvre le point d'entrée.
De plus, le système recherche également d'autres appareils connectés aux appareils compromis et les infecte également. C'est comme quand tout le monde au bureau attrape un rhume. Si suffisamment de temps passe, personne ne se souvient exactement qui l'a commencé.
7. Piller, détruire, sortir
La dernière étape du processus de piratage implique que le cybercriminel utilise son contrôle élevé du l'appareil de la victime pour voler des données sensibles telles que les informations de connexion, les informations de carte de crédit ou des fichiers contenant des informations commerciales secrets. Un pirate peut également détruire les fichiers du système, ce qui est particulièrement dangereux si la victime ne dispose d'aucune sauvegarde pour les données volées et détruites.
Que se passe-t-il généralement après un piratage ?
Dans les cas où un pirate a été furtif au sujet de l'attaque, la victime peut ne pas s'en rendre compte, donnant ainsi au pirate une alimentation régulière en matériel. D'un autre côté, si la victime se rend compte qu'elle a été piratée, elle peut supprimer le logiciel malveillant et fermer les portes dérobées qu'elle peut trouver.
Certaines organisations détruisent les appareils compromis juste pour être en sécurité. Ils commencent également à neutraliser l'effet du piratage. Par exemple, si un pirate informatique pénètre dans le réseau d'une banque et vole des informations de carte de crédit, la banque désactivera immédiatement toutes les cartes compromises.
Pendant ce temps, pour les pirates, le piratage réussi signifie un jour de paie. Ils peuvent détenir la victime contre une rançon, généralement payée par des méthodes de paiement introuvables. Une autre option consiste à vendre les données volées à d'autres cybercriminels qui pourraient en trouver des utilisations; dire, voler l'identité de quelqu'un, copier leur modèle économique ou pirater des logiciels propriétaires.
Vous pouvez empêcher les tentatives de piratage
Les pirates utilisent un certain nombre de moyens pour trouver des victimes potentielles. Certains d'entre eux sont passifs et simples, tandis que d'autres sont actifs et sophistiqués. Mais ne paniquez pas. Des pratiques en ligne sûres et la limitation des informations que vous partagez en ligne peuvent vous empêcher d'être une cible. De plus, les meilleures pratiques et outils de cybersécurité comme les VPN et les anti-malware peuvent vous protéger contre les attaques.