PANORAMA

DE LA
CYBERMENACE
2022
PANORAMA
DE LA
CYBERMENACE
2022
SOMMAIRE
1 → LES ATTAQUANTS POURSUIVENT L’AMÉLIORATION
DE LEURS CAPACITÉS 6
A → Une convergence accrue de l’outillage des attaquants 7
B → Le ciblage d’équipements périphériques 10
C → Des acteurs privés toujours actifs 12

2 → LE GAIN FINANCIER, L’ESPIONNAGE ET LA DÉSTABILISATION

RESTENT LES PRINCIPAUX OBJECTIFS DES ATTAQUANTS 14
A → Les attaques à finalité lucrative demeurent courantes 15
B → Les activités d’espionnage se maintiennent en France
et dans le monde 22
C → Une menace de déstabilisation à surveiller dans un contexte
géopolitique sensible 24

3 → LES MÊMES FAIBLESSES SONT TOUJOURS EXPLOITÉES 26

A → L’exploitation de vulnérabilités 27
B → L’exploitation des nouveaux usages numériques
à des fins malveillantes 31
C → Les opportunités offertes par les divulgations de données 33

CONCLUSION 34
BIBLIOGRAPHIE 36

3
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 PANORAMA
DE LA
CYBERMENACE
2022

SYNTHÈSE
→
Malgré une année marquée par des attaquants pour les prestataires,
le conflit russo-ukrainien et ses les fournisseurs, les sous-traitants, les
effets dans le cyberespace, la menace organismes de tutelle et l’écosystème
informatique n’a pas connu d’évolution plus large de leurs cibles finales.
majeure, les tendances identifiées en
2021 s’étant confirmées en 2022. La convergence des outils et des
Le niveau général de la menace se techniques des différents profils
maintient en 2022 avec 831 intrusions d’attaquants se poursuit également
avérées contre 1082 en 20211. Si ce en 2022 et continue de poser des
nombre est inférieur à celui de 2021, difficultés de caractérisation de la
cela ne saurait être interprété comme menace. L’utilisation de rançongiciels
une baisse du niveau de la menace. par des attaquants étatiques illustre
En effet, si une chute de l’activité liée cette porosité entre différents profils
aux rançongiciels a bien été observée d’attaquants déjà identifiée en 2021.
par l'Agence nationale de la sécurité Leur utilisation à des fins de déstabilisation
des systèmes d'information (ANSSI) dans le cadre d’opérations de sabotage
sur les opérateurs régulés publics et s’est par ailleurs matérialisée au
privés à l’exception des hôpitaux, elle cours de l’année 2022 et participe à
n’illustre pas l’évolution générale de complexifier la compréhension des
cette menace cyber qui se maintient activités malveillantes. L’apparition
à un niveau élevé en se déportant sur d’alternatives aux codes génériques tels
des entités moins bien protégées. que Cobalt Strike entraîne également
des difficultés de détection de ces
Les acteurs malveillants poursuivent nouveaux outils utilisés par plusieurs
l’amélioration constante de leurs profils d’attaquants, tout en compliquant
capacités à des fins de gain financier, la détermination des activités associées.
d’espionnage et de déstabilisation.
Cette amélioration s’illustre en Les attaques poursuivant un objectif
particulier dans le ciblage des de gain financier demeurent les plus
attaquants qui cherchent à obtenir courantes en 2022. Si une baisse
des accès discrets et pérennes aux de l’activité des rançongiciels a été
réseaux de leurs victimes. Les acteurs remarquée au premier semestre 2022,
malveillants tentent de compromettre une multiplication des cas d’attaques
des équipements périphériques qui par rançongiciels est observée depuis
leur offrent un accès plus furtif et l’été 2022, particulièrement à l’encontre
persistant aux réseaux victimes. des collectivités territoriales et des
Ce ciblage périphérique se transpose établissements de santé avec des
également dans le type d’entités impacts conséquents. Les autres activités
attaquées et confirme l’intérêt cybercriminelles comme les arnaques,

4
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
les services de vente d’accès ou de malveillantes. Le Cloud Computing et
programme malveillant à la demande et l’externalisation de services auprès
le cryptominage se sont maintenues. d’entreprises de services numériques,
sans clauses de cybersécurité adaptées,
L’espionnage informatique a également représentent toujours un vecteur
perduré en 2022 tant en France que d’attaque indirecte d’intérêt. En dépit
dans le monde. Il constitue la catégorie d’une baisse du nombre d’attaques
de menace qui a le plus impliqué les ciblant la supply chain en 2022,
équipes de l’ANSSI sur l’année écoulée. cette tendance reste d’actualité
Comme en 2021, la majorité des cas et souligne un risque systémique.
d’espionnage informatique traités par Enfin, l’exploitation de vulnérabilités
l’agence impliquait de nouveau des disposant de correctifs est encore trop
modes opératoires associés en source souvent observée, notamment dans le
ouverte à la Chine. Ces intrusions cadre des incidents traités ou rapportés
répétées de modes opératoires étrangers à l’ANSSI et ce malgré la publication
témoignent d’un effort continu d’avis et d’alertes sur le site du CERT-FR
pour s’introduire dans les réseaux ou de campagnes de signalement.
d’entreprises stratégiques françaises. L’ANSSI appelle à l’application prioritaire
des correctifs sur les systèmes exposés
L’invasion russe en Ukraine a également sur Internet ou, à défaut, la mise en
été favorable à des campagnes place de mesures de contournement.
d’espionnage stratégique au cours de
l’année 2022 et a fourni un contexte Le contexte géopolitique et les
favorable à des actions de déstabilisation évènements majeurs que sont la
en Europe. Si les attaques par sabotage Coupe du monde de rugby 2023 et les
informatique ont été, jusqu’à présent, Jeux olympiques et paralympiques de
relativement circonscrites au théâtre du Paris 2024 vont fournir aux attaquants
conflit, d’autres modes d’actions tels que de nombreuses opportunités de nuire.
des attaques en déni de service distribué, L’application rigoureuse d’une politique
des défigurations de sites Internet de mise à jour, une sensibilisation
ou des opérations informationnelles régulière des utilisateurs et le
associées à des exfiltrations de données développement de capacités de
ont affecté de nombreuses victimes détection et de traitement d’incident
en Europe et en Amérique du Nord. permettent de se prémunir des
menaces les plus courantes.
Les usages numériques non maîtrisés
et les faiblesses dans la sécurisation 1. 1082 intrusions avérées ont été portées
des données continuent d’offrir de trop à la connaissance de l’ANSSI sur l’ensemble
nombreuses opportunités d’actions de l’année 2021.

5
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
1→
LES
ATTAQUANTS
POURSUIVENT
L’AMÉLIO-
RATION
DE LEURS
CAPACITÉS

6
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
A → UNE CONVERGENCE
ACCRUE DE L’OUTILLAGE
DES ATTAQUANTS

→ Les attaquants étatiques

poursuivent l’utilisation de
codes et de méthodes traditionnellement
employés dans le milieu cybercriminel.
C’est plus particulièrement le cas des
rançongiciels qui, en 2022, ont encore
été utilisés à des fins de déstabilisation
par des attaquants étatiques.
En juillet 2022, l’Albanie a ainsi été la
cible de plusieurs cyberattaques menées
notamment à l’aide de rançongiciels et
de wipers2 dans le cadre d’une opération
de déstabilisation [1]. Ces attaques ont
entraîné l’indisponibilité temporaire
de plusieurs services numériques et
de sites Internet gouvernementaux
albanais le 15 juillet 2022 [2].

D’autres programmes malveillants

ont été associés à la fois à des activités
cybercriminelles et à des activités
d’espionnage. C’est notamment le
cas de la porte dérobée modulaire
DarkCrystal RAT, mise en vente à partir
de 2018 sur des forums russophones et
composée d’un stealer3, d’une interface
de commande et de contrôle et d’un
outil d’administration [3]. Sa structure

2. Programme malveillant visant à détruire

les données présentes sur un système
d’information.
3. Programme malveillant qui collecte
différents types d’informations (identifiants
et mots de passe, jeton d’authentification)
avant de les transmettre à son opérateur.

7
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
modulaire permet de l’adapter aux rester neutres et de se concentrer sur des
objectifs de l’attaquant en ajoutant attaques purement lucratives. Ces prises
des modules d’enregistrement de frappe, de position patriotiques, spontanées
de collectes d’identifiants enregistrés ou orchestrées, participent une fois
sur le navigateur Web ou encore de de plus à brouiller la caractérisation et
capture d’écran. Le faible prix de cet l’attribution des activités malveillantes.
outil4 et sa disponibilité en source
ouverte en ont rapidement fait un outil La réutilisation accrue d’outils
populaire auprès de plusieurs acteurs disponibles en source ouverte et d’outils
cybercriminels. DarkCrystal RAT aurait commerciaux comme Cobalt Strike5,
également été utilisé par les attaquants tant par des attaquants étatiques que
du mode opératoire (MOA) Sandworm cybercriminels, participe également
en juin 2022 pour compromettre des aux difficultés de caractérisation de la
organisations ukrainiennes des secteurs menace. L’apparition d’alternatives à
des médias et des télécommunications ces outils génériques complique encore
selon le CERT-UA [4] [5]. la détection des activités malveillantes.
Qu’ils soient commerciaux, comme Brute
À ce phénomène s’ajoute la proximité Ratel, ou disponibles en source ouverte,
soupçonnée entre certains groupes comme Mythic ou Sliver, ces outils sont
cybercriminels et des États. Au cours de plus en plus utilisés par différents
des premiers mois du conflit russo- profils d’attaquants dans le cadre
ukrainien, des groupes cybercriminels d’activités d’espionnage informatique
russophones ont réorienté leur ciblage ou d’activités cybercriminelles [7] [8].
pour s’aligner sur les intérêts russes en Leur utilisation répond à une recherche
Ukraine et ont affiché leur soutien au de discrétion des attaquants.
gouvernement russe, à l’instar du groupe
4. 500 roubles pour un abonnement
Conti [6]. À l’inverse, certains groupes de deux mois.
ont souhaité cibler la Russie. Enfin, 5. Outil commercial utilisé
d’autres groupes ont pris le parti de à des fins de test d’intrusion.

8
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 B → LE CIBLAGE
D’ÉQUIPEMENTS PÉRIPHÉRIQUES

→ La recherche de furtivité
des attaquants se traduit aussi
dans le type d’équipement ciblé.
qu’un attaquant avait compromis ces
équipements et y avait installé des outils
d’administration à distance (Remote
La compromission d’équipements Administration Tool – RAT). Profitant
périphériques, tels que des pare-feux de la furtivité de sa présence sur ces
ou des routeurs, offre effectivement équipements périphériques, l’attaquant
de multiples avantages. Ces équipements a été en mesure d’utiliser ses accès
connectés en permanence, généralement pour se connecter à des machines du
peu supervisés par les outils grand réseau interne de la victime, dont il
public et professionnels, fournissent aux avait été évincé un an plus tôt après
attaquants un accès discret et persistant la remédiation d’une précédente
aux réseaux de leurs victimes. La nature compromission. Il a ensuite exfiltré des
de ces équipements impose d’adapter informations techniques et des données
les outils et les méthodes de collecte et métier. En ayant pris le contrôle de
d’analyse dans le cadre des opérations différents pare-feux, l’attaquant était
de remédiation. également en mesure d’intercepter un
certain type de trafic entre quelques
Ces équipements peuvent également être bureaux, spécifiquement ciblés, de
intégrés à une infrastructure attaquante l’entité visée.
afin d’anonymiser les communications
de l’acteur malveillant ou une activité de Des acteurs cybercriminels ont
reconnaissance. Cette technique a été également eu recours à ces mêmes
utilisée par les attaquants mettant en procédés. Les opérateurs du cheval de
œuvre le mode opératoire (MOA) APT31 Troie Trickbot ont ainsi compromis des
pour constituer une infrastructure de routeurs MikroTik et les ont intégrés à
Commande et de Contrôle (C2) et de leur C2 [10].
reconnaissance en compromettant des
routeurs de marque Pakedge, Cyberoam
et Cisco [9].

Ce type de ciblage a été observé

et analysé récemment par l’ANSSI.
L’agence a été informée d’activités
malveillantes menées entre avril et
décembre 2021 sur des équipements
réseau d’une entité française disposant
d’une présence internationale. Les
analyses de l’ANSSI ont démontré

10
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 11
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
C → DES ACTEURS PRIVÉS
TOUJOURS ACTIFS

→ Malgré les révélations sur le

programme Pegasus de NSO
Group en 2021, le secteur des entreprises
qui peuvent porter atteinte au secret
des affaires et à la défense nationale.

privées de lutte informatique offensive Les récentes révélations du journal

(LIO) reste très actif, comme en The Sunday Times et de l’organisation
atteste le récent rachat de l’entreprise non gouvernementale The Bureau
italienne RCS Lab par son concurrent of Investigative Journalism [16] à
Cy4Gate [11]. Les produits de RCS propos de campagnes d’espionnage
Lab et plus particulièrement son de personnalités ayant critiqué
espiogiciel Hermit ont fait l’objet de l’attribution de la Coupe du monde
publications par l’éditeur de sécurité de football 2022 au Qatar en sont
Lookout [12] et le Threat Analysis une nouvelle illustration. Quatre
Group de Google [13]. Hermit aurait personnalités françaises feraient
notamment été utilisé au Kazakhstan partie des cibles présumées [17].
pour cibler des équipements Android Les publications régulières sur
après les manifestations qui ont eu lieu les capacités cyber offensives
au début de l’année 2022. Si aucun privées soulignent la nécessité
ciblage de la France ou de personnalités de renforcer les capacités de
françaises à l’aide de cet espiogiciel détection et d’investigation.
n’est connu, le dévoiement potentiel
de ce type d’outil justifie le suivi de
ces entreprises et de leurs capacités.

La problématique de l’utilisation de
ces logiciels espions est traitée au niveau
européen par la commission d’enquête
PEGA6 du Parlement européen, qui a
rendu public son rapport préliminaire
le 8 novembre 2022 [14].
6. Commission d’enquête sur
Parallèlement à ces acteurs offrant des l’utilisation de Pegasus et de logiciels
solutions d’espiogiciels, des entreprises, espions de surveillance équivalents
telles que BellTrox InfoTech Services créée le 10 mars 2022. Elle a pour
[15], fournissent des prestations mandat de récolter des informations
sur l’utilisation par des États membres
moins sophistiquées mais persistantes
et d’autres pays de logiciels de
comme de l’expertise humaine (hacker- surveillance qui violeraient les droits
for-hire). Elles mènent des activités et les libertés inscrits dans la Charte
intenses d’espionnage économique des droits fondamentaux de
et politique au profit de clients variés l’Union européenne.

12
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 13
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
2→
LE GAIN
FINANCIER,
L’ESPIONNAGE
ET LA DÉSTA-
BILISATION
RESTENT LES
PRINCIPAUX
OBJECTIFS DES
ATTAQUANTS
14
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 A → LES ATTAQUES À FINALITÉ LUCRATIVE
DEMEURENT COURANTES

→ Si les attaques à finalité lucrative

↓
restent courantes, une baisse en
volume de l’activité liée aux rançongiciels
en France et en Europe est observée
depuis le début de l'année 2022, tant
au niveau de l’ANSSI que par certains DES COLLECTIVITÉS TERRITORIALES
partenaires étrangers et éditeurs [18]. Le PARTICULIÈREMENT AFFECTÉES PAR
nombre total de compromissions portées LES ATTAQUES PAR RANÇONGICIEL :
à la connaissance de l’ANSSI est ainsi
inférieur de 46 % à celui constaté sur la Les collectivités locales constituent la deuxième
catégorie de victime la plus affectée par des
même période en 2021. Cette diminution
attaques par rançongiciel derrière les TPE, PME
avait commencé à être observée à la fin et ETI. Elles représentent ainsi 23 % des incidents
de l’année 2021. Elle se limite toutefois aux en lien avec des rançongiciels traités par ou
incidents signalés à l’agence et ne reflète rapportés à l’ANSSI en 2022. Les conséquences de
pas nécessairement une vision exhaustive ces attaques sont particulièrement importantes
de la situation. L’ANSSI note cependant pour les collectivités concernées. Ces attaques
parfois destructrices perturbent notamment les
une multiplication des attaques par
services de paie, le versement des prestations
rançongiciel depuis le mois de septembre sociales et la gestion de l’état civil. Passé la
qui pourrait annoncer une intensification découverte de l’attaque, le fonctionnement de
à venir de ces activités malveillantes. ces entités continue d’être dégradé le temps
Plusieurs collectivités territoriales ont de la reconstruction, affectant durablement
ainsi été victimes de rançongiciel depuis les services à destination des administrés.
l’été 2022 [19] [20] [21] [22] [23] [24].

→ COMPARAISON DES SIGNALEMENTS D’ATTAQUES PAR RANÇONGICIEL EN 2021 ET 2022.

35 250

30 203
200
25

150
20
109
15
100

10
50
5

0 0
Janv. Fév. Mars Avril Mai Juin Juillet Août Sept. Oct. Nov. Déc.

Attaque par rançongiciel en 2021 Attaque par rançongiciel en 2022 Cumul 2021 Cumul 2022

15
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
→ RÉPARTITION DES TYPES DE VICTIMES DE COMPROMISSIONS PAR RANÇONGICIEL EN 2021 ET 2022

6% PME/TPE/ETI

2%
4%
6% Collectivité territoriale/locale

20
3%

22
3%
8% Entreprise stratégique
7%
Établissement public de santé
1%

9% Établissement d’enseignement

20
10%
supérieur

21
40%
EPA, EPIC
51%
6% 19%
Ministère

Autre (association, infrastructures

de transport…)
23%

→ COMPARATIF DES PRINCIPALES SOUCHES UTILISÉES DANS DES INCIDENTS SIGNALÉS À L’ANSSI EN 2021 ET 2022.

2021 2022
7
Avaddon 0

Bitlocker 8
5

2
Black Cat 7

Conti 22
1

Darkside 8
0

Everest 3
0

Hive 3
13

LockBit 21
26

Mespinoza/Pyza 6
0

Phobos 5
1

Play 0
4

Ryuk 24
0

Sodinokibi 22
1

0 5 10 15 20 25 30

16
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
Plusieurs facteurs peuvent expliquer partie des données et des applications
cette baisse perçue. Après l’invasion portées par le système d’information
russe en Ukraine, une réorientation du a contraint les services hospitaliers à
ciblage des groupes cybercriminels a fonctionner en mode dégradé. En outre,
été remarquée. Certains groupes ont le 23 septembre 2022, 11 gigaoctets
choisi de s’aligner avec les intérêts de données exfiltrées lors de la
des belligérants. D’autres groupes ont compromission ont été publiés sur le site
modifié substantiellement leur ciblage web du groupe cybercriminel. Parmi les
géographique en s’attaquant notamment éléments divulgués figuraient notamment
à l’Amérique latine [25]. L’engagement des données médicales et personnelles
dissuasif de certains pays, comme les liées aux patients et au personnel
États-Unis [26], dans la lutte contre la hospitalier. Une situation similaire s’est
cybercriminalité a pu influer sur le ciblage répétée quelques mois plus tard au
des acteurs cybercriminels. Le conflit Centre Hospitalier de Versailles [29].
russo-ukrainien a également entraîné
la réorganisation de certains groupes L’action des équipes techniques du
cybercriminels russophones, à l’instar du Centre Hospitalier, assistées par
groupe Conti, victime de divulgations de l’ANSSI et par plusieurs prestataires,
données vraisemblablement orchestrées a permis un redémarrage des services
par un membre ukrainien du groupe [27]. critiques. La reconstruction sécurisée
Cette restructuration a pu influencer le du système d’information ainsi que le
rythme opérationnel de ces groupes. retour à un fonctionnement nominal
nécessiteront un travail de long terme.
Cela étant, comme en 2021, les
principales victimes françaises d’attaques Certains gouvernements ont également
par rançongiciels observées par l’agence été victimes d’attaques par rançongiciel,
en 2022 demeurent les TPE, PME, et ETI, notamment le Pérou et le Costa Rica
suivies des collectivités territoriales et en avril 2022. En mai 2022, ce dernier a
des établissements publics de santé. déclaré l’état d’urgence après l’attaque
menée à l’aide du rançongiciel Conti [30].
En 2022, les principales souches de C’est aussi le cas du gouvernement du
rançongiciel utilisées dans les incidents Monténégro, victime en août 2022 d’une
portés à la connaissance de l’ANSSI attaque s’appuyant sur le rançongiciel
sont LockBit, Hive et BlackCat. Cuba [31]. Les conséquences sur le
Si le nombre d’attaques par rançongiciel fonctionnement de l’administration et
est en baisse sur l’année 2022, leurs de certains services publics numériques
conséquences demeurent très étaient telles que le gouvernement,
importantes, plus particulièrement dans craignant une propagation vers certaines
des secteurs critiques comme la santé. infrastructures critiques, a sollicité l’aide
Outre les conséquences financières, de la communauté internationale. Pour
ce type d’évènement peut également les assister dans leurs investigations et la
avoir un impact sur le suivi des patients remédiation de leurs services prioritaires,
[28] et la confidentialité de leurs une équipe de l’ANSSI a été déployée
données de santé. Dans la nuit du 20 au sur place au mois de septembre.
21 août 2022, le Centre Hospitalier Sud
Francilien a été victime d’une attaque L’activité cybercriminelle ne se restreint
par rançongiciel revendiquée par le pas aux rançongiciels. D’autres types
groupe Lockbit. L’indisponibilité d’une d’activités tels que la revente de

17
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
18
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
données personnelles ou bancaires leurs techniques, leurs tactiques et
et des arnaques plus classiques se leurs procédures (TTP) pour être moins
sont maintenus. Un changement détectables, en consommant par exemple
de thématique des campagnes moins de puissance de calcul (CPU) sur les
d’hameçonnage a été observé. Il ressort machines compromises ou en dissimulant
ainsi des signalements effectués à les traces de leurs activités. C’est
l’ANSSI que la thématique des impôts notamment le cas du groupe TeamTNT
est progressivement remplacée par celle qui a annoncé la fin de ses activités en
de la santé, en usurpant notamment novembre 2021 [35]. Ce mode opératoire
l’identité de l’Assurance Maladie. Les risque toutefois d’inspirer d’autres
attaquants cherchent ainsi à exploiter groupes. Parfois peu visibles pour les
le contexte sanitaire et l’actualité liée à victimes, ces activités génèrent pourtant
la création de « Mon espace santé7 ». des revenus considérables qui pourraient
être réinvestis par les attaquants pour
Les acteurs offrant des services acquérir de nouvelles capacités. Les
d’infrastructures à des fins d’hébergement membres du groupe Kinsing se sont
ou de distribution de services malveillants notamment distingués par le soin apporté
ont également maintenu leurs activités. à la dissimulation de leurs activités via
Ces maillons essentiels de l’écosystème diverses techniques d’obfuscation.
cybercriminel ont résisté aux opérations Le groupe se démarque également par
de démantèlement conduites par les l’automatisation de l’exploitation de
forces de l’ordre [32]. Si certains services vulnérabilités comme Log4J8, exploitée
comme Dridex ou TrickBot semblent avoir deux jours après sa divulgation [36].
disparu [33], d’autres à l’image de QakBot
ou Emotet sont de nouveau actifs [34]. 7. Espace numérique proposé par l’Assurance
Maladie et le ministère de la Santé, qui
a vocation à devenir le carnet de santé
Une vigilance particulière doit être numérique interactif de tous les assurés.
accordée aux activités de cryptominage. 8. Vulnérabilité découverte dans la
En effet, les cybercriminels ont adapté bibliothèque de journalisation Apache Log4j.

→ ÉVOLUTION DE LA THÉMATIQUE EXPLOITÉE DANS LES COURRIELS D’HAMEÇONNAGE DEPUIS 2019

500

400
385 438

300 329

200
211

100

0
2019 2020 2021 2022

Total Assurance Maladie Service des impôts

19
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 B → LES ACTIVITÉS D’ESPIONNAGE
SE MAINTIENNENT EN FRANCE
ET DANS LE MONDE

→ Comme en 2021, la menace

d’espionnage informatique est
celle qui a le plus impliqué les équipes
victime, en coordination avec l’ANSSI,
afin de garantir l’éviction de l’attaquant
et de permettre la reconstruction
de l’ANSSI en 2022. Ainsi, sur les 19 d’une infrastructure de confiance.
opérations de cyberdéfense et les
incidents majeurs traités par l’agence Ces différentes compromissions
en 2022, 9 impliquaient de nouveau confirment par ailleurs une évolution
des modes opératoires associés en plus durable du ciblage des attaquants
source ouverte à la Chine. Ces intrusions qui ne se restreint pas à une organisation
répétées attestent d’un effort continu donnée. Suivant la tendance des attaques
pour s’introduire dans les réseaux sur la chaîne d’approvisionnement
d’entités françaises stratégiques. (supply chain), les acteurs malveillants
visent plus couramment les entreprises,
Avertissement : l’évolution du nombre les partenaires, les sous-traitants,
d’incidents majeurs et d’opérations de les prestataires et les organisations
cyberdéfense ne doit pas être comprise
de tutelle de leurs cibles finales
comme une mesure de l’évolution
du niveau menace. Elle est le fait dans le cadre de campagnes
des différents modes d’engagement d’espionnage global au long cours.
des équipes de l’ANSSI qui s’appuie
également sur un ensemble de Ce constat ne se limite pas à la France.
prestataires qualifiés de réponse à Plusieurs campagnes d’espionnage
incidents de sécurité pour le traitement
ciblant par exemple la base industrielle
des incidents relevant de son périmètre.
et technologique de défense (BITD) en
Durant le premier semestre 2022, Russie ont été révélées par différents
l’ANSSI a traité la compromission éditeurs de sécurité [37] [38] [39].
en profondeur du système d’information
d’un fournisseur spécialisé du secteur Le contexte de l’invasion russe en
de la défense, dont le savoir-faire Ukraine a également été favorable
est en mesure de susciter l’intérêt à des campagnes d’espionnage
d’un gouvernement étranger. Les stratégique contre des pays européens
investigations menées par l’ANSSI et des membres de l’OTAN. Plusieurs
ont confirmé la présence d’un acteur modes opératoires ont été mis
malveillant au sein du système en œuvre dans le cadre de telles
d’information depuis au moins mars 2021. campagnes au cours de l’année 2022
De multiples occurrences d’exfiltration comme Gamaredon [40], APT28 [41]
de données ont été détectées sur et Turla [42]. Ce ciblage devrait se
la même période. Des actions de poursuivre à la faveur d’un contexte
remédiation ont été entreprises par la géopolitique particulièrement tendu.

20
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 21
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 C → UNE MENACE DE DÉSTABILISATION
À SURVEILLER DANS UN CONTEXTE
GÉOPOLITIQUE SENSIBLE

→ L’invasion russe de l’Ukraine a

fourni un contexte propice à
l’augmentation du niveau de la menace
Toutefois, les conséquences économiques
du conflit, plus spécifiquement dans le
secteur de l’énergie, appellent à une vigilance
de déstabilisation en Europe. Celle-ci s’est particulière de la part de l’ensemble des
matérialisée sous différentes formes. Des organisations du secteur, des opérateurs
attaques par déni de service distribué, d’importance vitale aux sous-traitants, aux
par sabotage informatique ainsi que des prestataires et aux fournisseurs. Des actions
opérations informationnelles s’appuyant de reconnaissance contre un terminal de
sur des compromissions de systèmes gaz naturel liquéfié aux Pays-Bas ont été
d’information ont été observées. imputées aux MOA Kamacite et Xenotime
Si les tentatives de sabotage informatique par l’éditeur de sécurité Dragos [44]. Au
à l’encontre d’infrastructures critiques regard des attaques passées mettant
ont été nombreuses dans ce contexte, en œuvre ces MOA, la menace de
elles ont été relativement circonscrites déstabilisation au travers d’attaques
géographiquement à la zone de conflit par sabotage informatique paraît
ukrainien. Peu de dommages collatéraux crédible dans ce contexte.
ont été constatés, à l’exception de l’attaque
subie par le réseau de communication Le conflit russo-ukrainien a également
satellitaire KA-SAT9 qui a eu des effets de favorisé une recrudescence de l’hacktivisme,
bord en dehors des frontières ukrainiennes. plus particulièrement en Europe de l’Est
en soutien à la Russie comme à l’Ukraine.
Cette attaque menée dans la nuit du 23 au Ces acteurs, à l’image de KillNet [45] et de
24 février 2022 et attribuée à la Russie par Squad303 [46] ou encore de l’IT Army of
le Service européen pour l’action extérieure Ukraine [6] agissent par le biais d’attaques
le 10 mai 2022 [43] n’a pas directement ciblé DDoS ou d’exfiltration, de défigurations de
le satellite, qui est demeuré pleinement sites Internet ou de divulgations de données
fonctionnel, mais les équipements au sol. dans le cadre d’opérations informationnelles.
Plusieurs dizaines de milliers de modems Leurs cibles sont variées mais se concentrent
ont été mis hors service en Europe, dont essentiellement en Europe et en Amérique
un grand nombre en France. Cette coupure du Nord. L’impact médiatique de leurs
de communication satellitaire a privé actions est souvent disproportionné
plusieurs milliers de citoyens français par rapport au niveau de compétences
résidant en zones blanches de moyen de mises en œuvre et à l’impact réel sur le
communication avec les services d’urgence fonctionnement de leurs cibles. Toutefois, les
et de secours. Des structures publiques conséquences de ce type d’attaques pouvant
ainsi que de nombreuses entreprises qui provoquer l’indisponibilité de certaines
utilisaient ce service ont également été ressources ou porter atteinte à l’image
affectées. Le retour à un fonctionnement d’institutions ne doivent pas être négligées.
nominal a pu prendre jusqu’à plusieurs 9. Opéré par l’entreprise
mois pour certains clients français. américaine Viasat

22
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 23
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 3→
LES MÊMES
FAIBLESSES
SONT
TOUJOURS
EXPLOITÉES

24
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 A → L’EXPLOITATION
DE VULNÉRABILITÉS

→ De nombreux incidents observés

par et rapportés à l’ANSSI
au cours de l’année 2022 ont pour
→ LISTE DES VULNÉRABILITÉS
LES PLUS EXPLOITÉES DANS LES INCIDENTS
origine l’exploitation de vulnérabilités TRAITÉS PAR OU RAPPORTÉS À L’ANSSI EN 2022.
disposant pourtant de correctifs
mis à disposition par les éditeurs et ANSSI
ayant fait l’objet d’avis ou de bulletins
d’alerte, toujours disponibles sur le site CVE ÉDITEUR RÉFÉRENCE CERT-FR
du CERT-FR. Pour les plus critiques, ces
publications ont été accompagnées MICROSOFT
CVE-2021-34473 CERTFR-2021-ALE-017
EXCHANGE
de campagnes de signalement.

Ces vulnérabilités concernent CVE-2021-44228 APACHE CERTFR-2021-ALE-022

des logiciels particulièrement

courants et utilisés par de très CVE-2022-26134 CONFLUENCE CERTFR-2022-ALE-006
nombreuses organisations publiques
comme privées. Certaines de ces
vulnérabilités, parmi les plus exploitées, CVE-2022-35914 GLPI CERTFR-2022-ALE-010

sont corrigées depuis 2021.

CVE-2022-27925 ZIMBRA CERTFR-2022-AVI-736

Avertissement : Ce classement ne CVE-2022-41040 MICROSOFT

comptabilise que les évènements CERTFR-2022-ALE-008
CVE-2022-41082 EXCHANGE
pour lesquels l’ANSSI ou un prestataire
d’investigation a pu confirmer avec un MICROSOFT
CVE-2021-26855 CERTFR-2021-ALE-004
haut degré de certitude l’exploitation EXCHANGE
d’une vulnérabilité en 2022. Le nombre
réel d’évènements pour lesquels CVE-2021-31207 MICROSOFT
CERTFR-2021-ALE-017
l’exploitation d’une de ces vulnérabilités CVE-2021-34523 EXCHANGE
a été – même fortement – supposée
est considérablement plus élevé. Le VMWARE
CVE-2022-22954 CERTFR-2022-AVI-318
classement ci-dessous est donné à WORKSPACEONE
titre indicatif, en considérant que les
MICROSOFT
occurrences avérées d’exploitation CVE-2021-34527 CERTFR-2021-ALE-014
WINDOWS
d’une vulnérabilité constituent un
échantillon proportionnellement
représentatif de l’ensemble.

25
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 DATE DE DATE DE
IDENTIFIANT CVE-2021-34473 14/07/2021 IDENTIFIANT CVE-2021-44228 10/12/2021
PUBLICATION PUBLICATION

ÉDITEUR MICROSOFT CVSS SCORE10 10.0 ÉDITEUR APACHE CVSS SCORE 9.3

De multiples vulnérabilités ont été Une vulnérabilité a été découverte

découvertes dans MICROSOFT dans la bibliothèque de journalisation
EXCHANGE. Elles permettent à APACHE LOG4J. Cette bibliothèque est
un attaquant de provoquer une très souvent utilisée dans les projets
exécution de code arbitraire à de développement d’application
distance et de prendre le contrôle du JAVA/J2EE. Cette vulnérabilité
serveur de messagerie MICROSOFT permet à un attaquant de provoquer
EXCHANGE. La technique, dénommée une exécution de code arbitraire à
PROXYSHELL s’appuie sur l’existence distance s’il a la capacité de soumettre
de plusieurs vulnérabilités corrigées une donnée à une application qui
en avril et en mai 2021 [47]. utilise la bibliothèque LOG4J pour
journaliser l’évènement [48].
10. COMMON VULNERABILITY
SCORING SYSTEM (CVSS) est un système
DATE DE
d’évaluation standardisé de la criticité IDENTIFIANT CVE-2022-26134 03/06/2022
PUBLICATION
des vulnérabilités selon des critères
objectifs et mesurables. Cette évaluation
ÉDITEUR ATLASSIAN CVSS SCORE 7.5
est constituée de 3 mesures appelées
métriques : la métrique de base, la
métrique temporelle et la métrique
environnementale. Le score final est Une vulnérabilité a été découverte
compris entre 0 et 10, 10 correspondant
dans ATLASSIAN CONFLUENCE. Elle
aux vulnérabilités les plus critiques. Plus
d’informations sur www.first.org/cvss.
permet à un attaquant non authentifié
de provoquer une exécution de code
arbitraire à distance. Cette vulnérabilité
est exploitée par des attaquants pour
déployer différentes portes dérobées
(webshells) afin de maintenir leur
présence sur les serveurs compromis [49].

26
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 DATE DE
IDENTIFIANT CVE-2022-35914 19/09/2022
PUBLICATION

ÉDITEUR GLPI CVSS SCORE 9.8

De multiples vulnérabilités ont été

découvertes dans la solution GLPI
(GESTIONNAIRE LIBRE DE PARC
INFORMATIQUE). En particulier, cette
vulnérabilité permet à un attaquant
de provoquer une exécution de
code arbitraire à distance et un
contournement de la politique de
sécurité. La vulnérabilité référencée
affecte une bibliothèque tierce –
HTMLAWED – embarquée par GLPI [50].

DATE DE
IDENTIFIANT CVE-2022-27925 21/04/2022
PUBLICATION

ÉDITEUR ZIMBRA CVSS SCORE 7.2

De multiples vulnérabilités ont

été découvertes dans ZIMBRA.
La vulnérabilité référencée
CVE-2022-27925 permet à
un attaquant de provoquer
une atteinte à la confidentialité
et à l’intégrité des données [51].

27
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
28
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
B → L’EXPLOITATION DES NOUVEAUX USAGES
NUMÉRIQUES À DES FINS MALVEILLANTES

→ Les nouvelles technologies et

les nouveaux usages qu’elles
entraînent altèrent et tendent à
de prendre le contrôle de l’ensemble
des machines virtuelles hébergées dans
l’environnement. Sans user des mêmes
accroître la surface d’attaque de leurs vulnérabilités, les acteurs cybercriminels
utilisateurs. Ainsi, l’ANSSI observe font également preuve d’intérêt pour ces
que le ciblage des solutions de solutions. Les solutions de virtualisation
virtualisation est devenu plus courant. étant fréquemment inclues dans l’Active
Ces solutions sont particulièrement Directory, les opérateurs de rançongiciels
populaires pour la souplesse et la les ciblent lors du chiffrement, pour
flexibilité qu’elles apportent dans la rendre rapidement indisponible un
gestion des systèmes d’information. grand nombre de machines. Pour aider
Toutefois, outre les difficultés de les victimes, l’ANSSI a mis à disposition
détection sur ces environnements, sur le GitHub de l’agence un outil
leur compromission permet aux nommé DFIR4vSphere permettant de
attaquants de maintenir un accès collecter des journaux et des artéfacts
persistant à l’ensemble des machines sur un environnement vSphere [54]
virtuelles gérées par l’hyperviseur11. En à des fins d’analyse forensique.
septembre 2022, les éditeurs Mandiant
et VMware [52] ont indiqué que des Par ailleurs, le Cloud Computing et plus
attaquants ciblaient spécifiquement généralement l’externalisation de services
la solution de virtualisation vSphere à informatiques auprès d’entreprises de
des fins d’espionnage pour déployer services numériques (ESN) participent
deux portes dérobées nommées aussi à l’augmentation de la surface
« VirtualPita » et « VirtualPie ». Le d’attaque potentielle des organisations.
ciblage des hyperviseurs est également
particulièrement intéressant pour des Les infrastructures de Cloud peuvent
cybercriminels opérant des rançongiciels, être exploitées à des fins lucratives
comme le groupe Conti [53]. comme le minage de cryptomonnaies
ou être intégrées à une infrastructure
Ce constat est partagé par l’ANSSI attaquante. Elles peuvent aussi constituer
qui a traité en 2022 plusieurs un vecteur d’intrusion efficace.
incidents impliquant la compromission
d’hyperviseurs VMWare. À de Le déploiement de solutions
multiples occasions distinctes, des d’authentification unique (Single Sign-On
attaquants étatiques ont compromis un - SSO) et la généralisation du Cloud font
environnement vSphere en exploitant peser une menace croissante sur les
une vulnérabilité. Cet accès, atteint soit cookies de session. Ces cookies, utilisés
par le biais d’une console vCenter, ou en pour l’authentification, représentent une
ciblant directement un ESXi, leur a permis cible privilégiée pour plusieurs profils

29
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
d’attaquants. Ils constituent un vecteur
→ ÉVOLUTION DES ÉVÈNEMENTS TOUCHANT LES ESN
d’intrusion ou un levier de latéralisation DEPUIS 2020.
efficace en permettant de contourner
l’authentification, y compris multifacteur. 45
Ils sont régulièrement collectés par 40
des cybercriminels à l’aide de stealers 37
35
déposés sur les systèmes de leurs victimes
ou lors d’opérations d’hameçonnage. 30
Associés à des identifiants, ces cookies 29
25
permettent d’accéder à des systèmes 20
et des applications en ligne tels que
des gestionnaires d’identité comme 15
15 18
Okta, victime en mars 2022 du groupe 10 14
LAPSUS$ [55]. Cette attaque avait pour
5
origine la compromission du compte
d’un ingénieur de Sitel, fournisseur de 0
2020 2021 2022
services d’Okta. Selon les dernières
informations disponibles, les attaquants Nombre d’évènements Compromissions
se seraient introduits sur le réseau de
Sitel au travers de sa filiale Sykes [56].
Cette attaque illustre l’effet domino → COMPARATIF DES TYPES D’INCIDENTS AFFECTANT
que peuvent avoir des attaques LES ESN EN 2021 ET 2022.
ayant pour origine la compromission
d’un prestataire ou d’une filiale. 3

2022
Des recommandations portant sur 5 3
la politique de sécurité associée aux 2
sessions authentifiées et le durcissement 14
du système d’information sont
4 2021 18
disponibles sur le site du CERT-FR [57] 4
et dans les guides publiés par l’ANSSI.
2

Les attaques sur la chaîne

4
d’approvisionnement numérique
ont été moins nombreuses en 2022. 7
L’agence a également observé cette
baisse. Il ressort ainsi des incidents traités Compromission Infrastructure
par ou rapportés à l’ANSSI que les cas de
Divulgation Tentative de compromission
compromission d’ESN ont légèrement et collecte d’informations
baissé entre 2021 et 2022. Toutefois, Indisponibilité Vulnérabilités
les attaques sur la supply chain, qu’elles
concernent un prestataire comme une
ESN ou une chaîne de distribution 11. Composant logiciel qui joue le rôle d’interface
logicielle, continuent de présenter un entre les machines virtuelles (VM) et le serveur hôte.
L’hyperviseur contrôle l’accès aux ressources de la
risque systémique, comme l’illustre le cas
machine hôte et est responsable du cloisonnement
d’Okta évoqué précédemment ou celui entre VM. L’exploitation de vulnérabilités de l’hyperviseur
de la communauté de développement peut permettre à un attaquant de compromettre
Rust [7] dévoilé en mai 2022. l’intégralité de l’hôte et des VM qu’il héberge.

30
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 C → LES OPPORTUNITÉS OFFERTES
PAR LES DIVULGATIONS DE DONNÉES

→ Qu’elles soient consécutives à des

attaques par rançongiciel [58] ou à
de la négligence [59], mises en vente par
Ces données peuvent être réutilisées
notamment pour mener des campagnes
d’hameçonnage crédible. Lorsqu’elles
des cybercriminels [60] ou exposées dans sont constituées d’identifiants et
le cadre d’opérations informationnelles de mots de passe, ces informations
associées à des revendications peuvent être réutilisées directement
idéologiques ou politiques [61], les par les attaquants. L’activation de
divulgations de données constituent une l’authentification multifacteur permet
opportunité d’agir pour les attaquants. de s’en prémunir en grande partie.
À l’image des veilles sur la réputation,
il convient de surveiller les divulgations
de données concernant son organisation
ou ses partenaires et d’appliquer
les recommandations relatives à
l’authentification multifacteur et aux
mots de passe disponibles sur le site
de l’ANSSI.

31
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
 4→
CONCLUSION

32
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
→
En dépit du conflit russo-ukrainien, pas été l’objet d’attaque informatique
la menace informatique a d’ampleur, d’autres évènements à
peu évolué entre 2021 et 2022. venir comme la Coupe du monde de
Elle se maintient à un niveau élevé rugby en 2023 et les Jeux olympiques
en ce qui concerne l’espionnage et paralympiques de Paris 2024
d’organisations publiques et privées. représenteront des opportunités à saisir
pour des attaquants aux profils variés,
L’évolution du conflit et les tensions qu’ils soient motivés par le gain financier,
économiques qui en résultent l’espionnage ou la déstabilisation.
notamment dans le secteur de l’énergie,
appellent à une vigilance de l’ensemble L’application rigoureuse d’une
des organisations. Au regard de la politique de mises à jour et du Guide
nature des attaques informatiques d’hygiène informatique de l'ANSSI, une
menées par le passé dans le cadre sensibilisation régulière des utilisateurs
de ce conflit et de l’implication des et le développement de capacités
pays européens, la menace d’actions de détection et de traitement
de déstabilisation et d’actions de d’incident permettent de se prémunir
prépositionnement est jugée crédible. des menaces les plus courantes.
Ces actions de déstabilisation peuvent
prendre la forme d’attaques DDoS ou de Les récentes évolutions législatives
divulgations de données orchestrées et comme la nouvelle directive Network
associées à des revendications ou encore and Information System Security (NIS 2)
d’attaques par sabotage informatique. adoptée par le Parlement européen
le 10 novembre 2022 et transposée
La menace cybercriminelle et en droit français d’ici septembre 2024,
plus spécifiquement celle liée aux vont permettre de renforcer le pouvoir de
rançongiciels se maintient avec un supervision de l’agence en élargissant son
regain d’activités remarqué en fin champ d’actions à un plus grand nombre
d’année 2022. Elle ne doit pas éluder les de secteurs économiques et d’acteurs
autres types d’activités cybercriminelles publics et privés. Cette directive, qui
comme le cryptominage. Plus furtif prend en compte la problématique de la
qu’auparavant, il permet de générer numérisation de la supply chain, devrait
des fonds importants qui peuvent être également permettre d’imposer des
réinvestis par les acteurs malveillants exigences de sécurité plus importantes
pour acquérir de nouvelles capacités. aux entreprises concernées, d’induire
une augmentation du niveau de maturité
Si les élections présidentielles et des organisations et ainsi de participer à
législatives françaises de 2022 n’ont réduire les risques d’attaques indirectes.

33
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
ANNEXE →
BIBLIOGRAPHIE

34
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
[1] [8] [16]
MINISTÈRE DES AFFAIRES ÉTRANGÈRES MICROSOFT SECURITY BLOG. THE BUREAU OF INVESTIGATIVE
ET EUROPÉENNES. Looking for the 'Sliver' lining: Hunting JOURNALISM.
8 septembre 2022. for merging command-and-control How Qatar hacked the World Cup.
URL : https://www.diplomatie.gouv.fr/ frameworks. 24 août 2022. URL : https://www.thebureauinvestigates.
fr/dossiers-pays/albanie/evenements/ URL : https://www.microsoft.com/en-us/ com/stories/2022-11-05/
article/albanie-q-r-extrait-du-point-de- security/blog/2022/08/24/looking-for- how-qatar-hacked-the-world-cup
presse-08-09-22 the-sliver-lining-hunting-for-emerging-
command-and-control-frameworks/ [17]
[2] MEDIAPART.
ASSOCIATED PRESS. [9] Le Qatar soupçonné d’avoir ciblé
Albania Cuts Diplomatic Ties with Iran over CERT-FR. Mediapart dans une opération mondiale
July Cyberattack. 7 septembre 2022. APT31: Pakdoor, Synthèse technique. de hacking. 6 novembre 2022.
URL : https://apnews.com/article/nato- 15 décembre 2021. URL : https://www.mediapart.fr/journal/
technology-iran-middle-east-6be153b291f URL : https://www.cert.ssi.gouv.fr/uploads/ international/061122/le-qatar-soupconne-
42bd549d5ecce5941c32a CERTFR-2021-CTI-012b.pdf d-avoir-cible-mediapart-dans-une-
operation-mondiale-de-hacking
[3] [10]
BLACKBERRY. MICROSFOT SECURITY BLOG. [18]
Dirty Deeds Done Dirt Cheap: Russian Uncovering Trickbot's use of IoT devices ZDNET.
RAT Offers Backdoor Bargains. in command-and-control infrastructure. Ransomware has gone down because
5 septembre 2022. 16 mars 2022. sanctions against Russia are making life
URL : https://blogs.blackberry.com/ URL : https://www.microsoft.com/en-us/ harder for attackers. 10 mai 2022.
en/2022/05/dirty-deeds-done-dirt-cheap- security/blog/2022/03/16/uncovering- URL : https://www.zdnet.com/article/
russian-rat-offers-backdoor-bargains trickbots-use-of-iot-devices-in-command- ransomware-has-gone-down-because-
and-control-infrastructure/ sanctions-against-russia-are-making-life-
[4] harder-for-attackers/
CERT-UA. [11]
Масована кібератака на медійні INTELLIGENCE ONLINE. [19]
організації України з використанням RCS Lab Leads new owner Cy4gate's MARIANNE.
шкідливої програми CrescentImp Europen growth goals. 15 avril 2022. Face à l’explosion des cyberattaques, la
(CERT-UA#4797). 6 juin 2022. URL : https://www.intelligenceonline.com/ solution contestée du gouvernement.
URL : https://cert.gov.ua/article/160530 surveillance--interception/2022/04/15/rcs- 27 septembre 2022.
lab-leads-new-owner-cy4gate-s-european- URL : https://www.marianne.net/societe/
[5] growth-goals,109768275-art big-brother/face-a-lexplosion-des-
FORTINET. cyberattaques-la-solution-contestee-du-
Ukraine Targeted by Dark Crystal RAT [12] gouvernement
(DCRat). 27 juin 2022. LOOKOUT.
URL : https://www.fortinet. Lookout Découverte du logiciel [20]
com/blog/threat-research/ espion Hermit déployé au Kazakhstan. PARIS NORMANDIE.
ukraine-targeted-by-dark-crystal-rat 16 juin 2022. Le Département de Seine-Maritime
URL : https://fr.lookout.com/blog/ touché par une cyberattaque :
[6] hermit-spyware-discovery les services publics « dégradés ».
THE RECORD. 10 octobre 2022.
Russia or Ukraine: Hacking Groups Take [13] URL : https://www.paris-normandie.
Sides. 25 février 2022. GOOGLE THREAT ANALYSIS GROUP. fr/id349866/article/2022-10-10/
URL : https://therecord.media/russia-or- Spyware vendor targets users in Italy and le-departement-de-seine-maritime-
ukraine-hacking-groups-take-sides/ Kazakhstan. 23 juin 2022. touche-par-une-cyberattaque-les-services
URL : https://blog.google/threat-analysis-
[7] group/italian-spyware-vendor-targets- [21]
SENTINEL ONE. users-in-italy-and-kazakhstan/ VILLE DE CHAVILLE.
CrateDepression Rust Supply-chain La Ville de Chaville victime d’une
Attack Infects Cloud CI Pipelines with Go [14] cyberattaque. 17 octobre 2022
Malware. 19 mai 2022. PEGA. URL : https://www.ville-chaville.fr/
URL : https://www.sentinelone.com/ PEGA: Findings. Parlement européen. actualites-evenements/toute-l-
labs/cratedepression-rust-supply-chain- 14 novembre 2022. actualite-77/la-ville-de-chaville-victime-
attack-infects-cloud-ci-pipelines-with-go- URL : https://www.europarl.europa. dune-cyberattaque-5426. html?cHash=
malware/ eu/committees/en/pega-findings/ d24693b307b60aabf87ac7b4a08e4e4d
product-details/20221114CAN67684

[15]
CITIZEN LAB.
Dark Basin Uncovering a Massive Hack-
For-Hire Operation. 9 juin 2020.
URL : https://citizenlab.ca/2020/06/dark-
basin-uncovering-a-massive-hack-for-hire-
operation/

35
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
[22] [29] [35]
MIDI LIBRE. FRANCEINFO. TREND MICRO.
Cyberattaque à Frontignan : les services L’hôpital André-Mignot du centre Probing the Activities of Cloud-Based
de la mairie piratés, les hackeurs hospitalier de Versailles victime Cryptocurrency-Mining Groups.
demandent une rançon. 31 octobre 2022. d’une cyberattaque. FranceInfo. Trend Micro. 29 mars 2022.
URL : https://www.midilibre.fr/2022/10/31/ 4 décembre 2022. URL : https://www.trendmicro.com/vinfo/
la-mairie-de-frontignan-victime-dune- URL : https://www.francetvinfo.fr/internet/ us/security/news/cybercrime-and-digital-
cyberattaque-et-dune-demande-de- securite-sur-internet/cyberattaques/ threats/probing-the-activities-of-cloud-
rancon-10774268.php info-franceinfo-l-hopital-andre-mignot- based-cryptocurrency-mining-groups
du-centre-hospitalier-de-versailles-victime-
[23] d-une-cyberattaque_5522235.html [36]
20 MINUTES. JUNIPER NETWORKS.
Essonne : La mairie de Brunoy visée par [30] Log4j Attack Payloads In The Wild. Juniper
une attaque au rançongiciel. BLEEPING COMPUTER. Networks. 17 décembre 2021.
2 novembre 2022. Costa Rica declares national emergency URL : https://blogs.juniper.net/en-us/
URL : https://www.20minutes.fr/faits_ after Conti ransomware attacks. security/in-the-wild-log4j-attack-payloads
divers/4008154-20221102-essonne-mairie- 8 mai 2022.
brunoy-visee-attaque-rancongiciel URL : https://www.bleepingcomputer.com/ [37]
news/security/costa-rica-declares-national- THE NEW YORK TIMES.
[24] emergency-after-conti-ransomware- Chinese Hackers Tried to Steal Russian
LE MONDE. attacks/ Defense Data, Report Says.
Cyberattaque : une rançon de 10 millions The New York Times. 19 mai 2022.
de dollars réclamée au département de [31] URL : https://www.nytimes.
Seine-et-Marne. Le Monde. LE MONDE. com/2022/05/19/world/asia/china-hackers-
17 novembre 2022. Le Monténégro, visé par une cyberattaque, russia.html
URL : https://www.lemonde.fr/societe/ appelle à l’aide internationale et accuse la
article/2022/11/17/cyberattaque-une- Russie. Le Monde. 27 août 2022. [38]
rancon-de-10-millions-de-dollars- URL : https://www.lemonde.fr/ SECURITY PARROT.
reclamee-au-departement-de-seine-et- international/article/2022/08/27/ Chinese hackers attack defense companies
marne_6150336_3224.html le-montenegro-vise-par-une- and government agencies in Russia and
cyberattaque-appelle-a-l-aide- Eastern Europe. Security Parrot. 8 août 2022.
[25] internationale-et-accuse-la- URL : https://securityparrot.com/news/
CYBERSCOOP. russie_6139205_3210.html chinese-hackers-attack-defense-
Latin America governments are prime companies-and-government-agencies-in-
targets for ransomware due to lack of [32] russia-and-eastern-europe/
resources, analysis argues. Cyberscoop. EUROPOL.
16 juin 2022. Internet Organised Crime Threat [39]
URL : https://www.cyberscoop.com/latin- Assessment (IOCTA) 2021. Publications POSITIVE TECHNOLOGIES.
america-ransomware-recorded-future/ Office of the European Union, APT31 new dropper. Target destinations:
Luxembourg, 2021. Mongolia, Russia, the U.S., and elsewhere.
[26] URL : https://www.europol.europa.eu/cms/ Positive Technologies. 3 août 2022.
CNN. sites/default/files/documents/internet_ URL : https://www.ptsecurity.com/ww-en/
Cyber Command head says US has carried organised_crime_threat_assessment_ analytics/pt-esc-threat-intelligence/
out a ‘surge’ to address ransomware attacks. iocta_2021.pdf apt31-new-attacks/
3 novembre 2021.
URL : https://edition.cnn.com/2021/11/03/ [33] [40]
politics/nakasone-ransomware-surge/ MALWAREBYTES LABS. CERT-UA.
index.html TrickBot takes down server infrastructure Кібератака групи UAC-0010 (Armageddon)
after months of inactivity. на державні інституції країн
[27] MalwareBytes Labs. 28 février 2022. Європейського Союзу (CERT-UA#4334).
BREACHQUEST. URL : https://www.malwarebytes.com/blog/ CERT-UA. 4 avril 2022.
The Conti Leaks | Insight into a Ransomware news/2022/02/trickbot-takes-down-server- URL : https://cert.gov.ua/article/39086
Unicorn. 9 mars 2022. infrastructure-after-months-of-inactivity
URL : https://www.breachquest.com/blog/ [41]
conti-leaks-insight-into-a-ransomware- [34] CLUSTER25 THREAT INTEL TEAM.
unicorn/ BLEEPING COMPUTER. In the footsteps of the Fancy Bear:
Emotet botnet starts blasting malware PowerPoint mouse-over event abused
[28] again after 4 month break. to deliver Graphite implants. uksRise.
TIC SANTÉ. Bleeping Computer. 2 novembre 2022. 23 septembre 2022.
Le coût total de la cyberattaque du CH de URL : https://www.bleepingcomputer. URL : https://blog.cluster25.duskrise.
Dax s’est élevé à 2,3 millions d’euros (RSSI). com/news/security/emotet-botnet-starts- com/2022/09/23/in-the-footsteps-of-the-
Tic santé. 8 avril 2022. blasting-malware-again-after-4-month- fancy-bear-powerpoint-graphite/
URL : https://www.ticsante.com/ break/
story?ID=6141

36
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
[42] [50] [58]
GOOGLE THREAT ANALYSIS GROUP. CERT-FR. RAPID7.
Update on cyber activity in Eastern Europe. Multiples vulnérabilités dans GLPI. CERT-FR. New Report Shows What Data Is Most
3 mai 2022. 7 octobre 2022. at Risk to (and Prized by) Ransomware
URL : https://blog.google/threat-analysis- URL : https://www.cert.ssi.gouv.fr/alerte/ Attackers. Rapid7. 6 juin 2022.
group/update-on-cyber-activity-in- CERTFR-2022-ALE-010/ URL : https://www.rapid7.com/blog/
eastern-europe/ post/2022/06/16/new-report-shows-what-
[51] data-is-most-at-risk-to-and-prized-by-
[43] CERT-FR. ransomware-attackers/
CONSEIL EUROPÉEN. Multiples vulnérabilités dans Zimbra.
Russian cyber operations against Ukraine: CERT-FR. 31 mars 2022. [59]
Declaration by the High Representative on URL : https://www.cert.ssi.gouv.fr/avis/ GROUP-IB.
behalf of the European Union. 10 mai 2022. CERTFR-2022-AVI-291/ Thousands of IDs exposed in yet another
URL : https://www.consilium.europa.eu/en/ data breach in Brazil. Group-IB. 16 juin 2022.
press/press-releases/2022/05/10/ [52] URL : https://blog.group-ib.com/
russian-cyber-operations-against- MANDIANT. brazil-exposed-db
ukraine-declaration-by-the-high- Bad VIB(E)s Part One: Investigating
representative-on-behalf-of-the- Novel Malware Persistence Within ESXi [60]
european-union/ Hypervisors. Mandiant. 29 septembre 2022. BLEEPING COMPUTER.
URL : https://www.mandiant. 14 novembre 2022.
[44] com/resources/blog/ URL : https://www.bleepingcomputer.
NL TIMES. esxi-hypervisors-malware-persistence com/news/security/whoosh-confirms-
Russian hackers targeting Dutch gas data-breach-after-hackers-sell-72m-user-
terminal: report. 25 novembre 2022. [53] records/
URL : https://nltimes.nl/2022/11/25/russian- TRELLIX.
hackers-targeting-dutch-gas-terminal- Conti Group Targets ESXi Hypervisors With [61]
report its Linux Variant. TRELLIX. 20 avril 2022. SOCRADAR.
URL : https://www.trellix.com/en-us/about/ Hacktivist Group Black Reward Leaked
[45] newsroom/stories/research/conti-group- Iran’s Nuclear Program Secrets. SOCRadar.
CBS NEWS. targets-esxi-hypervisors-with-its-linux- 4 novembre 2022.
U.S. airport websites knocked offline in variant.html URL : https://socradar.io/hacktivist-group-
apparent pro-Russia hacking attack. CBS black-reward-leaked-iran-nuclear-program-
News. 10 octobre 2022. [54] secrets/
URL : https://www.cbsnews.com/news/airport- CERT-FR.
websites-hacked-pro-russia-ddos-attack/ DFIR4vSphere : Investigation numérique [62]
sur la solution de virtualisation VMWare TREND MICRO.
[46] vSphere. CERT-FR. 22 juin 2022. Credential Stealer Targets US, Canadian
THE RECORD. https://www.cert.ssi.gouv.fr/actualite/ Bank Customers. 17 décembre 2020.
‘We are unstoppable’: How a team of CERTFR-2022-ACT-027/ URL : https://www.trendmicro.com/en_us/
Polish programmers built a digital tool research/20/l/stealth-credential-stealer-
to evade Russian censorship. The Record. [55] targets-us-canadian-bank-customers.html
17 mars 2022. OKTA.
URL : https://therecord.media/ Frequently Asked Questions Regarding [63]
we-are-unstoppable-how-a-team-of- the January 2022 Compromise. OKTA. PROOFPOINT.
polish-programmers-built-a-digital-tool-to- 26 avril 2022. Asylum Ambuscade: State Actor Uses
evade-russian-censorship/ URL : https://support.okta.com/ Compromised PRivate Ukrainian Military
help/s/article/Frequently-Asked- Emails to Target European Governments
[47] Questions-Regarding-January-2022- and Refugee Movement. 1er mars 2022.
CERT-FR. Compromise?language=en_US URL : https://www.proofpoint.com/us/
Multiples vulnérabilités dans Microsoft blog/threat-insight/asylum-ambuscade-
Exchange. CERT-FR. 27 août 2021. [56] state-actor-uses-compromised-private-
URL : https://www.cert.ssi.gouv.fr/alerte/ WIRED. ukrainian-military-emails
CERTFR-2021-ALE-017/ Leaked Details of the Lapsus$ Hack Make
Okta’s Slow Response Look More Bizarre. [64]
[48] WIRED. 29 mars 2022. STATE SERVICE OF SPECIAL
CERT-FR. URL : https://www.wired.com/story/ COMMUNICATIONS AND INFORMATION
Vulnérabilité dans Apache Log4j. lapsus-okta-hack-sitel-leak/ PROTECTION OF UKRAINE.
CERT-FR. 10 décembre 2021. 25 mars 2022.
URL : https://www.cert.ssi.gouv.fr/alerte/ [57] URL : https://cip.gov.ua/en/news/
CERTFR-2021-ALE-022/ CERT-FR. khto-stoyit-za-kiberatakami-na-
Menaces liées aux vols de cookies ukrayinsku-kritichnu-informaciinu-
[49] et contre-mesures. CERT-FR. 25 mai 2022. infrastrukturu-statistika-15-22-bereznya
CERT-FR. URL : https://www.cert.ssi.gouv.fr/cti/
Vulnérabilité dans Atlassian Confluence. CERTFR-2022-CTI-005
CERT-FR. 6 juin 2022.
URL : https://www.cert.ssi.gouv.fr/alerte/
CERTFR-2022-ALE-006/

37
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
PANORAMA
DE LA
CYBERMENACE
2022
CRÉDITS

38
PANORAMA
DE LA CYBERMENACE
2022
ANSSI
OURS

PANORAMA
DE LA
CYBERMENACE
2022

Édité par l’Agence nationale

de la sécurité des systèmes
d’information (ANSSI)

Direction artistique,
maquettage et illustrations
Cercle Studio (www.cerclestudio.com)

DÉPÔT LÉGAL
Janvier 2023

Publié sous licence Ouverte/

Open Licence (Etalab — V2.0)

ISBN : 978-2-11-167130-0 (papier)

ISBN : 978-2-11-167131-7 (numérique)

AGENCE NATIONALE
DE LA SÉCURITÉ DES
SYSTÈMES D’INFORMATION

ANSSI – 51 boulevard de
la Tour-Maubourg
75700 PARIS 07 SP

www.ssi.gouv.fr
www.cert.ssi.gouv.fr
[email protected]