Les relations internationales auraient pu être polies lors des sommets de cette semaine en Asie, mais dans le domaine de la cybersécurité, les luttes mondiales se sont déroulées comme prévu. Une grande partie de l’actualité était basée sur des histoires de groupes menaçants étatiques causant des dégâts dans le monde entier par le biais de violations, de crimes liés aux cryptomonnaies, d’hacktivisme et de falsification des infrastructures critiques.
La Chine, la Russie, l’Iran et la Corée du Nord jouent souvent un rôle clé dans les attaques d’États-nations visant les gouvernements et les entreprises occidentales. Le fournisseur de cybersécurité Trellix a attribué aux groupes nord-coréens 18 % des activités des États-nations qu’il a détectées entre avril et septembre, soit la plus grande part de ces stratagèmes.
Les articles vedettes de cette semaine examinent les menaces des États-nations qui ont affecté une gamme de cibles, depuis les prévisions de revenus d’une entreprise jusqu’aux systèmes de contrôle industriel (SCI) au Canada.
Une cyberattaque contre un État-nation touche la première ligne de F5
Le fournisseur de technologie de réseau F5 a déclaré cette semaine que certains de ses clients hésitent à signer ou à renouveler des contrats à la suite d’une intrusion d’un groupe étatique, qui serait par la suite la Chine. Après avoir piraté les réseaux de l’entreprise, le groupe a conservé un accès à long terme aux plateformes de développement et d’ingénierie de F5. Les pirates ont accédé à des informations sur les vulnérabilités de sécurité que F5 évaluait.
Compte tenu de la visibilité de l’incident, certains clients de F5 attendent de prendre de nouveaux engagements, a déclaré lundi le PDG François Locoh-Donou aux investisseurs lors d’une conférence téléphonique sur les résultats. F5 a déclaré qu’il s’attendait à ce que la croissance des revenus au cours de l’exercice 2026 soit comprise entre stagnante et 4 %, ce qui serait en deçà de la croissance d’environ 9 % prévue par Wall Street.
Lisez l’article complet d’Eric Geller sur Cybersecurity Dive.
Le groupe nord-coréen passe à des attaques plus patientes et plus sophistiquées
Le groupe de menace nord-coréen BlueNoroff étend ses opérations de vol de crypto-monnaie, ciblant les dirigeants de la fintech et les développeurs Web3. Le groupe, connu sous plusieurs noms, dont Sapphire Sleet et APT38, utilise des tactiques d’ingénierie sociale élaborées, notamment de faux sites Web d’informations sur les cryptomonnaies et des entretiens d’embauche en ligne frauduleux.
BlueNoroff a fait évoluer sa stratégie de plusieurs manières. Autrefois connu pour travailler sur les plates-formes macOS, par exemple, le groupe a récemment été vu en train d’utiliser Microsoft Teams pour de fausses réunions. Les chercheurs de Kaspersky ont également observé l’envoi de divers logiciels malveillants à l’aide d’un processus d’exécution en plusieurs étapes. Les charges utiles de la campagne incluent le chargeur de malware DownTroy, la porte dérobée RealTimeTroy, le voleur multi-identifiants SilentSiphon et le malware de contrôle à distance CosmicDoor.
Les experts ont observé plus de patience et de sophistication de la part de BlueNoroff, les attaquants établissant des relations à long terme avec leurs cibles avant de déployer des logiciels malveillants déguisés en applications légitimes. Ce changement représente une extension des capacités de BlueNoroff au-delà des attaques traditionnelles de cryptomonnaie.
Lisez l’histoire complète d’Elizabeth Montalbano sur Dark Reading.
Le Canada met en garde les entreprises de services publics et d’autres contre les intrusions hacktivistes
Les autorités canadiennes ont publié cette semaine un avis indiquant que des groupes hacktivistes ont récemment violé des infrastructures critiques en exploitant des ICS connectés à Internet. Le Centre canadien pour la cybersécurité a signalé des attaques contre des services d’eau, des sociétés pétrolières et gazières et des sites agricoles. Des pirates informatiques malveillants ont falsifié les vannes de pression des installations d’eau, manipulé les jauges automatisées des réservoirs des sociétés énergétiques et exploité les contrôles de température et d’humidité des silos à céréales, a indiqué le gouvernement.
L’avis indiquait que les composants ICS exposés comprenaient des automates programmables, des interfaces homme-machine et des unités terminales distantes. Pour protéger ces systèmes, les autorités ont recommandé d’utiliser des protections VPN et MFA.
Même si les autorités canadiennes n’ont pas attribué les attaques à un groupe ou à un acteur étatique spécifique, elles ont qualifié ces activités de nature hacktiviste, destinées, entre autres, à « miner la réputation du Canada ».
Lisez l’histoire complète de David Jones sur Cybersecurity Dive.
Breach identifie des recrues dans le programme iranien de cyberespionnage
L’Académie Ravin d’Iran, un centre de formation pour les pirates informatiques soutenus par l’État et géré par le ministère du Renseignement et de la Sécurité, a subi une importante violation de données que les observateurs pensent être le résultat d’une opération d’hacktivisme.
La violation a révélé les noms, numéros de téléphone et autres données personnelles des recrues formées aux opérations de cyberespionnage. L’Académie Ravin a reconnu l’infraction dans un récent article sur Telegram, accusant des rivaux étrangers d’être responsables de l’attaque à l’approche de l’Olympiade nationale iranienne de cybersécurité. Fondée en 2019, la Ravin Academy a été sanctionnée par les États-Unis, le Royaume-Uni et l’UE pour avoir formé des pirates informatiques impliqués dans des activités d’espionnage.
Lisez l’histoire complète de Nate Nelson sur Dark Reading.
NDLR : Un éditeur a utilisé des outils d’IA pour faciliter la génération de ce bulletin d’information. Nos rédacteurs experts examinent et modifient toujours le contenu avant de le publier.
