Le Bulletin Cyber - Novembre 2021

Thématiques associées Cybersécurité EY Consulting

Le Bulletin Cyber EY : un condensé des dernières attaques par ransomware et les différents aspects de sécurisation des actions utilisateur.

Introduction

Cette nouvelle édition du Bulletin Cyber s’attarde sur plusieurs secteurs de plus en plus sévèrement touchés par les cyberattaques : alors que les industries du carburant, de l’énergie, de l’aviation constituent des cibles privilégiées depuis plusieurs années, le secteur de la santé fait désormais également les frais des pirates informatiques. Enfin, cette édition confirme la tendance observée tout au long de l’année 2021 d’augmentation des attaques sur la chaîne d’approvisionnement avec, cette fois, le secteur informatique pris pour cible.

Le paysage de la cybersécurité offensive apparaît donc en constante évolution, avec des acteurs capables de se réinventer, de renouveler leurs techniques et outils et d’étendre leurs surfaces d’attaques, forçant les organisations à adapter constamment leurs mécanismes de défense. A ce titre, nos experts présentent des conseils à suivre afin d’atténuer les risques d’attaques pour les organisations des secteurs concernés.

Aucune organisation ne peut aujourd’hui se croire à l’abri des cyberattaques.

Marc Ayadi
Associé, EY Consulting, Cyber leader, WEM, France

Un nouveau groupe APT s’attaque aux industries du carburant, de l’énergie et de l’aviation

La société de cybersécurité Positive Technologies a récemment découvert un nouveau groupe APT (Advanced Persistent Threat), connu sous le nom de ChamelGang, qui cible les industries de production de carburant, d'énergie et d'aviation en Russie, aux États-Unis, en Inde, au Népal, à Taïwan et au Japon.

Impacts du groupe APT ChamelGang

84%

des attaques de 2021 ont entraîné des pertes financières ou de données.

Le groupe utilise plusieurs techniques pour atteindre ses objectifs, parmi lesquelles le camouflage de son logiciel malveillant et de son infrastructure réseau sous les services légitimes de Microsoft, TrendMicro, McAfee, IBM et Google. ChamelGang parvient ainsi à pénétrer une filiale et, à travers elle, à s’introduire sur le réseau de l'entreprise cible et à voler des données hébergées sur le réseau compromis.

Les intrusions auraient commencé fin mars 2021 à la suite d’une cyberattaque remarquable : les malfaiteurs ont compromis une organisation filiale pour accéder au réseau d'une société d'énergie anonyme en exploitant une faille dans Red Hat JBoss Enterprise Application (CVE-2017-12149) pour exécuter à distance des commandes sur l’hôte et ainsi déployer des charges utiles (payloads) malveillantes. Les attaquants ont réussi à contrôler les hôtes impactés à l'aide de l'utilitaire public FRP (fast reverse proxy), écrit en Golang, qui permet de se connecter à un serveur proxy inverse. Les dernières attaques du groupe, en août, tiraient parti de ce qu'on appelle la chaîne de vulnérabilités ProxyShell affectant les serveurs Microsoft Exchange.

Le complexe du carburant et de l'énergie ainsi que l'industrie aéronautique sont deux des trois secteurs les plus fréquemment attaqués, selon le responsable de l'analyse des menaces de Positive Technologies. Les conséquences sont graves : ces attaques ont entraîné des pertes financières ou des pertes de données dans 84 % des cas l'année dernière. Ces attaques ont été spécifiquement créées pour voler des données et causer des dommages financiers et réputationnels majeurs.

Lyceum, une menace émergente pour les organisations tunisiennes

Malheureusement, ChamelGang n’est pas le seul groupe à prendre pour cible les organisations du secteur de l’énergie ; Lyceum (également connu sous le nom d'Hexane) est actif depuis avril 2018, date à laquelle le groupe a attaqué les télécommunications et infrastructures critiques de certaines organisations pétrolières et gazières de haut niveau au Moyen-Orient et en Afrique avec des e-mails de phishing (ou hameçonnage) contenant des logiciels malveillants.

Bien que peu connu, le groupe APT (Advanced Persistent Threat) Lyceum revient cette fois pour cibler les organisations tunisiennes. Des chercheurs de Kaspersky ont révélé que le groupe était à l'origine d'opérations malveillantes frappant deux organisations en Tunisie.

Une investigation antérieure révélait que le groupe utilisait divers scripts PowerShell et un nouveau Cheval de Troie d'accès à distance (RAT : Remote Access Trojan) basé sur des fonctionnalités .NET, appelé DanBot, qui déployait des outils de post-intrusion pour se propager sur les réseaux d'entités infectées, voler des identifiants et autres informations de comptes et enregistrer les frappes au clavier. Certaines commandes, telles que « whoami », « cmdkey » et « net localgroup », permettaient d’identifier l'utilisateur connecté, les informations d'identification stockées et les groupes locaux ; les processus et programmes en cours d'exécution installés sur la machine infectée étaient également énumérés. Pour accéder aux informations d’authentification de l'utilisateur, les attaquants utilisaient des outils supplémentaires tels qu'un exécutable basé sur Mimikatz capable de voler les mots de passe de Google Chrome.

Une nouvelle investigation de Secureworks en 2019 montre que les techniques employées et l'arsenal de Lyceum ont depuis évolué. En effet, les malfaiteurs ont amélioré l'ancien malware .NET avec une nouvelle version écrite en C++, et deux groupes de variantes ont été identifiés par Kaspersky. Les nouvelles variantes DanBot et l'originale prennent en charge des protocoles C2 (Command and Control) personnalisés similaires via DNS ou HTTP. Selon l'article de Kaspersky, la nouvelle variante a introduit des changements dans les protocoles de communication et elle est principalement compilée pour les systèmes 64 bits. Son objectif est de « faciliter un canal de communication qui transmet des commandes arbitraires qui doivent être exécutées par l'implant ». De plus, une variante inhabituelle qui ne contenait aucun mécanisme de communication réseau a été identifiée. Les spécialistes pensent qu'elle a été utilisée comme moyen de proxy pour le trafic entre deux clusters de réseau interne.

Il existe des similitudes importantes entre Lyceum et la tristement célèbre campagne du groupe DNSpionage associé à APT34 (OilRig) : la création de faux sites Web, l'intégration de commandes codées dans le code source ou encore le choix des mêmes noms de variables. Les deux groupes ont également un ciblage géopolitique similaire et préfèrent utiliser le tunneling DNS dans les différentes charges utiles (payload) qu'ils ont créées au fil des ans.

Comment atténuer la menace ?

Si Lyceum constitue aujourd’hui une menace sophistiquée pour les organisations énergétiques au Moyen-Orient et plus particulièrement en Tunisie, les organisations ne doivent pas supposer que le groupe se cantonnera à ce secteur dans le futur. Les éléments suivants fournissent des capacités de protection et de détection qui s'appliquent à un large éventail de menaces :

  • Mettre en œuvre l'authentification multifacteurs (MFA)

    Chaque service d’entreprise accessible à distance et disponible sur Internet, y compris les applications cloud telles qu'Office 365/Outlook, les réseaux privés virtuels externes (VPN) et les pages d'authentification unique (SSO), doit imposer aux utilisateurs de fournir un mot de passe à usage unique en plus de leur mot de passe habituel. Cependant, le simple envoi d'e-mails d'inscription automatique peut permettre aux acteurs malveillants de s'inscrire eux-mêmes à l'aide de comptes compromis et de poursuivre leurs opérations.

  • Augmenter la visibilité…

    … via la détection, la réponse et la journalisation des points de terminaison

    Les efforts de réponse aux incidents sont souvent entravés par un manque de visibilité dans l'environnement. Cette condition peut être due à l'absence de journaux qui permettent aux défenseurs du réseau de reconstituer de manière légale ce qui s'est passé ou à des outils insuffisants pour surveiller l'activité en cours des acteurs menaçants. Les outils de surveillance des terminaux sont essentiels pour détecter les activités suspectes dans l'environnement après que d'autres contrôles ont été contournés.

  • Mener des exercices de préparation

    Les solutions technologiques ne sont pas toujours suffisantes face aux risques de cybersécurité. Alors que les employés sont à la fois des vulnérabilités et des atouts, il est recommandé de favoriser une culture axée sur la sensibilisation à la cybersécurité permettant au personnel de travailler efficacement tout en réduisant la fréquence globale, l'impact et le coût des incidents de sécurité.

    • Intervention en cas d'incident : l'implication des parties prenantes, y compris des équipes juridiques, des relations publiques et d'autres groupes de l'organisation, dans un exercice de crise permet de mieux identifier les données importantes. Cette formation permettra au personnel de contacter les bonnes personnes à l'intérieur comme à l'extérieur de l'organisation lorsqu'un incident de sécurité se produit.
    • Sensibilisation au phishing : il est recommandé de renforcer en permanence la sensibilisation au phishing (hameçonnage) et d’offrir aux utilisateurs un moyen simple de signaler les messages suspects afin de pouvoir détecter les campagnes de phishing à un stade précoce. Les organisations doivent disposer de processus de réponse et de confinement rapides dans le cas où un utilisateur exécute une charge utile (payload) malveillante.

EY propose à ses clients un accompagnement sur l’ensemble de ces solutions de détection, préparation et protection des risques cyber, afin de les aider à assurer leur sécurité face aux menaces informatiques.

Le domaine de la santé, terrain de jeu lucratif pour les pirates informatiques

Multiplication des cyberattaques

81%

des organisations de santé britanniques ont subi des attaques de ransomware l’année dernière.

Alors que la technologie est aujourd’hui un élément essentiel dans le domaine de la santé, les cyberattaques se multiplient également dans ce secteur. Les organisations de santé, déjà mises à rude épreuve face à la pandémie de Covid-19 et de plus en plus dépendantes des technologies, se trouvent plus que jamais vulnérables, représentant ainsi un secteur lucratif à exploiter pour les pirates informatiques.

Ainsi, une nouvelle étude d'Obrela Security Industries auprès de 100 responsables de la cybersécurité dans le secteur de la santé révèle que 38% des organisations de santé britanniques ont choisi de payer une demande de rançon pour récupérer leurs fichiers après avoir été victimes d'attaques de ransomware. A l’inverse, 44% ont déclaré avoir refusé de payer une demande de rançon mais ont perdu leurs données de santé en conséquence. L'étude intervient peu de temps après la médiatisation de nombreux exemples d'organisations de santé britanniques victimes de cyberattaques.

L'étude a également analysé les conséquences plus larges des cyberattaques sur les organisations de santé. Près des deux tiers (64 %) des répondants ont admis que leur organisation avait dû annuler des rendez-vous en raison d'une cyberattaque. Dans le pire des scénarios, 65% déclarent qu'une cyberattaque sur leurs systèmes pourrait entraîner des pertes de vie. Aux Etats-Unis, la mort récente d'un nourrisson est considérée comme le premier décès enregistré en raison d'attaques de ransomware.

Selon l'enquête publiée par le Q3 Digital Universe d'Obrela, une augmentation de 30 % des attaques contre l'infrastructure informatique du secteur de la santé est observée au troisième trimestre par rapport au deuxième trimestre de 2021. Cette augmentation significative a été observée sur plusieurs vecteurs d'attaque, parmi lesquels les menaces de sécurité des e-mails (36 %), les attaques d'initiés (24 %) et les violations de périmètre (20 %).

Le secteur de la santé devient plus attrayant pour les attaquants, car les organisations de santé détiennent certaines des données confidentielles les plus précieuses au monde et utilisent la technologie sans se préoccuper de la sécurité. Aujourd’hui, ces organisations sont donc considérées comme ayant un profil de risque plus élevé, d’autant plus que les menaces informatiques peuvent conduire à la perte de vies humaines.

Microsoft : le renseignement russe vise la chaîne d’approvisionnement informatique mondiale

La chaîne d’approvisionnement informatique internationale visée

+ 600

clients Microsoft ont été attaqués des milliers de fois par Nobelium.

Microsoft affirme que Nobelium, groupe connecté au Service russe de renseignement étranger (SVR) et responsable de la cyberattaque de SolarWinds (connue sous le nom de Mandiant) en décembre 2020, cible désormais la chaîne d'approvisionnement informatique internationale, avec 140 fournisseurs de services managés (MSP : Managed Service Providers) et fournisseurs de services cloud (CSP : Cloud Service Providers) attaqués et au moins 14 d’entre eux compromis depuis mai 2021.

Tout comme pour les attaques précédentes, les pirates de l'État russe utilisent une boîte à outils diversifiée et en constante évolution, qui comprend une longue liste d'outils et de tactiques allant des logiciels malveillants aux pulvérisations de mots de passe en passant par le vol de jetons, l'abus d'API ou bien encore le phishing (hameçonnage).

Les principales cibles de ces nouvelles attaques sont les revendeurs et les fournisseurs de services technologiques, principalement en Europe et en Amérique du Nord, qui déploient et gèrent des services cloud et autres technologies similaires pour leurs clients. Le groupe de pirates utilise les relations techniques de confiance pour accéder aux clients en aval et lancer d'autres attaques ou accéder aux systèmes ciblés. Selon les dires de Tom Burt, Corporate Vice President chez Microsoft, entre juillet et octobre 2021, plus de 600 clients Microsoft ont été attaqués des milliers de fois par Nobelium, mais avec un très faible taux de réussite. Après les avoir repérées, Microsoft a informé les cibles touchées par les attaques ; Microsoft a également ajouté des détections à leurs produits de protection contre les menaces permettant aux futures victimes de repérer les tentatives d'intrusion.

Si Nobelium essaie de reproduire l’attaque par laquelle ils étaient parvenus à compromettre SolarWinds en utilisant le même schéma pour obtenir un accès à long terme aux systèmes des cibles d'intérêt via des canaux d'espionnage et d'exfiltration élaborés, quelques différences ont toutefois été relevées : une analyse de Mandiant et Microsoft révèle que le groupe n'exploite pas de vulnérabilité ou, comme ce fut le cas avec SolarWinds, « trojanizing » (i.e. insertion de code malveillant) du code légitime. Au lieu de cela, il s'appuie par exemple sur le phishing (hameçonnage) et le bourrage d’identifiants, ainsi que sur le vol de jetons et l’abus d'API (Application Programming Interfaces ou interfaces de programmation d’application).

Nobelium parvient ainsi à accéder aux réseaux des revendeurs via des informations d'identification légitimes et via un accès privilégié fourni avec ces identifiants ; une fois l'accès au réseau obtenu, le gang exploite la relation entre le revendeur et ses clients.

Microsoft a également partagé les mesures que les MSP, les fournisseurs de services cloud et d'autres organisations technologiques peuvent prendre pour protéger leurs réseaux et leurs clients contre ces attaques Nobelium en cours :

  • L'authentification MFA doit être utilisée et les stratégies d'accès conditionnel activées,
  • Le cadre du modèle d'application sécurisé doit être mis en œuvre,
  • Le journal d'activité dans le centre partenaire doit être vérifié.

Conclusion

Qu’ils soient motivés par le profit ou soutenus par un Etat, les groupes de pirates informatiques constituent une menace de premier plan pour les organisations, pouvant provoquer des pertes financières importantes, des dommages réputationnels et dans certains cas, la perte de vies humaines. Si nous avons choisi de développer ces sujets sur certains secteurs parmi les plus touchés récemment par les activités des pirates informatiques, l’accent est mis avant tout sur leur capacité d’évolution et d’adaptation : aucune organisation ne peut aujourd’hui se croire à l’abri des cyberattaques.

La cybersécurité doit donc faire l’objet d’une intégration continue dans l’ensemble des activités des organisations, tous secteurs confondus, plutôt que de quelques prestations visant un renforcement ponctuel de la sécurité.

Il n’existe que deux types d’entreprises : celles qui ont été piratées et celles qui le seront.
Robert Mueller
Ancien directeur du FBI

Pour aller plus loin

Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations

Nos atouts

  • Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
  • War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
  • Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
  • CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
  • ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.