Les pirates de SolarWinds ont tout un tas de nouvelles astuces pour les attaques de compromis de masse


Les pirates de SolarWinds ont tout un tas de nouvelles astuces pour les attaques de compromis de masse

Il y a presque exactement un an, des chercheurs en sécurité ont découvert l’un des pires violations de données dans l’histoire moderne, sinon jamais : une campagne de piratage soutenue par le Kremlin qui a compromis les serveurs du fournisseur de gestion de réseau SolarWinds et, à partir de là, les réseaux de 100 de ses clients les plus en vue, dont neuf agences fédérales américaines.

Nobelium – le nom que Microsoft a donné aux intrus – a finalement été expulsé, mais le groupe n’a jamais abandonné et est sans doute devenu plus effronté et apte à pirater un grand nombre de cibles en un seul coup. Le dernier rappel de la compétence du groupe vient de la société de sécurité Mandiant, qui lundi recherche publiée détaillant les nombreux exploits de Nobelium – et quelques erreurs – alors qu’il continuait à violer les réseaux de certaines de ses cibles les plus importantes.

Abus de confiance

L’une des choses qui ont rendu Nobelium si formidable était la créativité de ses TTP, le jargon des hackers pour les tactiques, les techniques et les procédures. Plutôt que de pénétrer chaque cible une par une, le groupe a piraté le réseau de SolarWinds et a utilisé l’accès et la confiance que les clients avaient dans l’entreprise pour envoyer une mise à jour malveillante à environ 18 000 de ses clients.

Presque instantanément, les pirates pourraient s’introduire dans les réseaux de toutes ces entités. Ce serait semblable à un cambrioleur entrant par effraction dans les locaux d’un serrurier et obtenant un passe-partout qui ouvrirait les portes de chaque immeuble du quartier, évitant ainsi les tracas d’avoir à ouvrir chaque serrure. Non seulement la méthode de Nobelium était évolutive et efficace, mais elle rendait également les compromis de masse beaucoup plus faciles à dissimuler.

Le rapport de Mandiant montre que l’ingéniosité de Nobelium n’a pas faibli. Depuis l’année dernière, les chercheurs de l’entreprise affirment que les deux groupes de piratage liés au piratage de SolarWinds – l’un appelé UNC3004 et l’autre UNC2652 – ont continué à concevoir de nouvelles façons de compromettre efficacement un grand nombre de cibles.

Au lieu d’empoisonner la chaîne d’approvisionnement de SolarWinds, les groupes ont compromis les réseaux de fournisseurs de solutions cloud et de fournisseurs de services gérés, ou CSP, qui sont des sociétés tierces externalisées sur lesquelles de nombreuses grandes entreprises s’appuient pour une large gamme de services informatiques. Les pirates ont ensuite trouvé des moyens intelligents d’utiliser ces fournisseurs compromis pour empiéter sur leurs clients.

“Cette activité d’intrusion reflète un ensemble d’acteurs de la menace doté de ressources suffisantes opérant avec un niveau élevé de préoccupation pour la sécurité opérationnelle”, a déclaré le rapport de lundi. « L’abus d’un tiers, en l’occurrence un CSP, peut faciliter l’accès à un large éventail de victimes potentielles grâce à un seul compromis. »

Artisanat avancé

L’artisanat avancé ne s’est pas arrêté là. Selon Mandiant, d’autres tactiques et ingéniosités avancées comprenaient :

  • Utilisation d’informations d’identification volées par des pirates informatiques à motivation financière utilisant des logiciels malveillants tels que Cryptbot, un voleur d’informations qui récupère les informations d’identification du système et du navigateur Web et les portefeuilles de crypto-monnaie. L’aide de ces pirates a permis aux UNC3004 et UNC2652 de compromettre des cibles même s’ils n’utilisaient pas de fournisseur de services piraté.
  • Une fois que les groupes de pirates étaient à l’intérieur d’un réseau, ils ont compromis les filtres anti-spam d’entreprise ou d’autres logiciels avec des « privilèges d’emprunt d’identité d’application », qui ont la possibilité d’accéder aux e-mails ou à d’autres types de données à partir de n’importe quel autre compte du réseau compromis. Le piratage de ce compte unique a évité d’avoir à entrer dans chaque compte individuellement.
  • L’abus de services proxy résidentiels légitimes ou de fournisseurs de cloud géolocalisés tels qu’Azure pour se connecter à des cibles finales. Lorsque les administrateurs des entreprises piratées ont examiné les journaux d’accès, ils ont vu des connexions provenant de FAI locaux jouissant d’une bonne réputation ou de fournisseurs de cloud situés dans la même zone géographique que les entreprises. Cela a aidé à dissimuler les intrusions, car les pirates informatiques parrainés par la nation utilisent fréquemment des adresses IP dédiées qui éveillent des soupçons.
  • Des moyens astucieux de contourner les restrictions de sécurité, comme l’extraction de machines virtuelles pour déterminer les configurations de routage interne des réseaux qu’ils voulaient pirater.
  • Accéder à un annuaire actif stocké dans le compte Azure d’une cible et utiliser cet outil d’administration tout puissant pour voler des clés cryptographiques qui généreraient des jetons pouvant contourner les protections d’authentification à deux facteurs. Cette technique a donné aux intrus ce qu’on appelle un SAML d’or, qui s’apparente à une clé squelette qui déverrouille chaque service qui utilise le Langage de balisage des assertions de sécurité, qui est le protocole qui fait fonctionner l’authentification unique, 2FA et d’autres mécanismes de sécurité.
  • Utilisation d’un téléchargeur personnalisé appelé Ceeloader.



Source link