L’équipe de réponse aux incidents de Kaspersky a suivi, étudié puis neutralisé une attaque de longue durée qui a touché un de ses clients de 2017 à 2019, et entraîné une vaste fuite de données confidentielles.
L’équipe de réponse aux incidents de Kaspersky a suivi, étudié puis neutralisé une attaque de longue durée qui a touché un de ses clients de 2017 à 2019, et entraîné une vaste fuite de données confidentielles. En cause, le compte d’un administrateur local piraté car celui-ci ne changeait pas régulièrement son mot de passe. Une négligence qui a permis aux auteurs de l’attaque d’infiltrer le système pour s’introduire dans un certain nombre de postes de travail, d’y installer une porte dérobée et d’y collecter des données sans éveiller l’attention.
En raison du facteur humain, toute entreprise, petite ou grande, est sujette aux cyberattaques, quelles que soient ses compétences techniques ou les qualifications de son équipe de sécurité informatique. Ce récent incident, traité par les experts de Kaspersky, montre une fois encore que même une simple négligence de la part d’un employé peut conduire à une attaque causant d’importants dommages à l’entreprise.
Ce client, une grande entreprise, s’est adressé aux chercheurs de Kaspersky après avoir détecté des activités suspectes sur son réseau interne. Les recherches qui ont suivi ont révélé que le système avait été piraté via le compte de l’administrateur local (adm_Ivan), utilisé pour télécharger une bibliothèque dynamique (DLL) malveillante en vue de dérober des données. Si le doute subsiste quant à la manière dont le compte de l’administrateur a été piraté au départ, l’inaction de l’utilisateur a permis à l’attaque de se poursuivre pendant une durée prolongée. L’administrateur n’a en effet pas changé de mot de passe pendant toute la durée de l’attaque, au lieu de le renouveler tous les trois mois comme le conseillait la charte de sécurité de la société. Les auteurs de l’attaque ont ainsi bénéficié d’un accès constant au système ciblé, aboutissant à la fuite de plusieurs milliers de fichiers confidentiels.
Afin d’en savoir plus sur l’attaque et d’atténuer les dommages déjà causés, l’entreprise victime et l’équipe de sécurité de Kaspersky ont décidé de surveiller les activités des cybercriminels plutôt que de fermer l’accès. Une analyse criminalistique a permis de déterminer que divers systèmes de l’entreprise avaient été piratés sur une période de deux ans, de 2017 à 2019.
Les pirates ont pénétré dans le système par le biais du compte de l’administrateur et téléchargé des fichiers malveillants directement sur le réseau, notamment une DLL ainsi que des modules de téléchargement (downloaders) et un backdoor. Ces objets malveillants étaient cachés dans le système via une modification de raccourcis sur le bureau, dans le menu Démarrer et dans la barre des tâches. Ainsi, un clic de l’utilisateur sur un raccourci modifié lançait un fichier malveillant avant le fichier exécutable de l’application d’origine, permettant aux cyberassaillants de dissimuler leurs activités suspectes au système de sécurité de l’entreprise.
Le mode d’utilisation du backdoor – donnant un accès total au système infecté – était ce qui présentait le plus d’intérêt pour le client et les chercheurs. Une analyse plus poussée a révélé que le malware exécutait diverses commandes et recherchait des fichiers en fonction de mots-clés et d’extensions. Il conservait également la trace des métadonnées des fichiers téléchargés précédemment. A noter d’ailleurs que le backdoor a été tout spécialement créé pour cette attaque, aucun autre cas d’utilisation malveillante n’ayant été détecté depuis plus d’un an. Cette surveillance prolongée a également permis à l’entreprise de découvrir comment ses systèmes avaient été piratés, d’identifier les raccourcis modifiés pour pointer vers des fichiers malveillants, et d’en déduire un certain nombre d’indicateurs pour affiner le suivi de l’attaque.
Pendant une période prolongée, les auteurs de l’attaque ont piraté de manière sélective le système qui les intéressait, y ont collecté des données puis ont « délaissé » le système infecté, un processus que l’entreprise – aux côtés des chercheurs – a pu surveiller et contrôler. Ce n’est que plus tard que les pirates ont décidé d’infecter la totalité des systèmes sur le réseau dans le but d’obtenir un autre point d’accès. Cette action a incité l’entreprise ciblée à bloquer l’attaque en cours et à mettre fin à l’opération.
« Ce cas exemplaire démontre l’importance que revêt la collaboration au sein de notre secteur pour obtenir de précieuses informations, prévenir des attaques similaires et rendre la lutte contre la cybercriminalité toujours plus efficace. Alors que les cybercriminels redoublent de créativité dans leurs tactiques et leurs techniques, il nous faut intensifier et étendre cette collaboration afin de pouvoir détecter les menaces dès leur stade initial et d’en protéger les utilisateurs et les entreprises », commente Pavel Kargapoltsev, expert en sécurité chez Kaspersky.
De plus amples informations sur cette fuite de grande ampleur sont disponibles sur Securelist.com
Pour en savoir plus sur les pratiques de Kaspersky en matière de réponse aux incidents, consultez le rapport Incident Response Analytics Report_2018.
Pour protéger votre entreprise contre des attaques ciblées de ce type, Kaspersky vous recommande les mesures suivantes :
- Utilisez la matrice MITRE ATT&CK et le format STIX pour détecter les attaques au stade initial.
- Installez des solutions EDR telles que Kaspersky Endpoint Detection & Response, permettant la détection au niveau des postes de travail, l’investigation et la correction rapide des incidents.
- Au-delà de la protection, essentielle, des postes de travail, installez une solution de sécurité d’entreprise qui détecte les menaces avancées sur le réseau au stade initial, par exemple Kaspersky Anti Targeted Attack Platform.
- Adressez-vous à des spécialistes extérieurs si votre équipe de sécurité interne dispose de ressources limitées pour chasser proactivement les assaillants et bloquer les menaces avant qu’elles ne causent des dommages. Par exemple, Kaspersky propose son service Kaspersky Threat Hunting.
- Organisez des formations pour sensibiliser l’ensemble de votre personnel à la sécurité, par exemple via Kaspersky Automated Security Awareness Platform. Ces formations expliquent notamment pourquoi il faut régulièrement changer de mot de passe.
Remarque :tous les noms et autres détails permettant d’identifier les individus et l’entreprise cliente ont été modifiés par souci de confidentialité.
À propos de Kaspersky
Kaspersky est une société de cybersécurité mondiale fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient perpétuellement enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée et complète des terminaux et un certain nombre de solutions et de services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 270 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.
Pour plus d’informations sur l’actualité virale : http://www.securelist.com
Blog français de Kaspersky : http://blog.kaspersky.fr/
