En début de semaine, une alerte technique a été diffusée conjointement par le centre de cybersécurité britannique (NCSC), le FBI et le département américain de la Sécurité intérieure pour avertir des méthodes utilisées par des hackers soutenus par le gouvernement russe dans une campagne de cyberespionnage engagée depuis trois ans. Ces attaques ciblent des agences gouvernementales, des entreprises et des fournisseurs d’infrastructures critiques et de services Internet à travers leurs équipements réseaux, commutateurs, firewalls et systèmes de détection d’intrusion.
Le rapport diffusé ce lundi par les trois instances gouvernementales est destiné à informer les fournisseurs de matériel réseaux, les organisations potentiellement ciblées et les utilisateurs de routeurs domestiques et à leur communiquer des informations pour identifier ces activités malveillantes afin de réduire les risques d’exposition. Cette communication intervient à un moment où les relations avec la Russie sont tendues, quelques semaines après l'empoisonnement de ressortissants russes au Royaume-Uni et quelques heures après les frappes menées par les Etats-Unis, les Britanniques et la France contre l'arsenal chimique en Syrie.
Une campagne de cyberespionnage menée depuis 2015
Les cyberattaques décrites dans le rapport diffusé par le NCSC, le FBI et le DHS exploitent notamment le protocole Smart Install de l'équipementier réseau Cisco. Ce dernier confirme dans un bulletin avoir été informé d’un détournement d’utilisation de son protocole SMI pour forcer un redémarrage de ses équipements, charger une nouvelle image d’IOS et exécuter des commandes CLI à privilège. Dans le rapport du 16 avril, des détails sont communiqués sur les tactiques, techniques et procédures utilisées par les hackers soutenus par la Russie pour compromettre les systèmes informatiques de leurs cibles. Ces dernières ont été identifiées à travers des actions coordonnées entre les Etats-Unis et leurs partenaires internationaux.
Ces agissements ne datent pas d’hier. Le rapport explique que, depuis 2015, les gouvernements des Etats-Unis et du Royaume-Uni ont reçu des informations de multiples sources, dont des organismes de recherche en cybersécurité privés et publics et des alliés, indiquant que des cyber-acteurs exploitaient de nombreux routeurs et commutateurs d’entreprises, mais aussi Soho et résidentiel au niveau mondial. Les équipements réseaux compromis permettent de conduire des attaques de type man-in-the-middle pour espionner, dérober des éléments de propriété intellectuelle et maintenir un accès continuel aux réseaux ainsi compromis, afin de mener d’autres opérations par la suite.
Les hackers peuvent modifier ou bloquer le trafic réseau
Les hackers en question n’ont pas besoin d’exploiter des failles zero-day, ni d’installer des malwares pour se servir des équipements réseaux, expliquent NCSC, FBI et DHS. Ils tirent parti de diverses vulnérabilités de ces matériels, par exemple à travers des protocoles non chiffrés de gestion des services, ou encore lorsque les mises à jour de sécurité ne sont plus fournies par leurs fabricants. Ils peuvent potentiellement modifier ou bloquer le trafic qui passe par les routeurs qu’ils ont compromis. Dans le cas d’infrastructures critiques associées à des systèmes industriels, « un acteur qui contrôle un routeur entre des capteurs ICS-SCADA (Industrial Control Systems – Supervisory Control and Data Acquisition) et les contrôleurs d’une infrastructure critique, par exemple dans le secteur de l’énergie, peut manipuler les messagers, créer des configurations dangereuses pouvant conduire à des pertes de service ou des destructions physiques », avertit le rapport. « Celui qui contrôle l’infrastructure de routage d’un réseau contrôle le flux de données à travers le réseau », soulignent ses rédacteurs.
Après avoir fourni des méthodes de détection d’attaques potentielles (à travers Telnet, SNMP/TFTP, SMI/TFTP ou SMI), le rapport communique des stratégies de réduction des risques et des pratiques de sécurité pour les fabricants, les utilisateurs et les opérateurs. A travers son ambassade à Londres, la Fédération de Russie a estimé qu’il s’agissait d’une « politique téméraire, provocante et infondée contre la Russie », indique l’agence de presse Reuters.
Réponse à Visiteur11419: .."Plutôt que d'incriminer les crackers qui ne font qu'utiliser les portes laissées ouvertes ". Vous rendez-vous compte que si ce que vous suggérez est adopté, que le gouvernement actuel représentant les Russes qui n'en peuvent rien, ne pourra plus aussi aisément, trafiquer les BDS, influencer les quidams lors d'élections, tricher pour les Olympiades à venir, hacker le boulot de ceux qui travaillent sur le métier ? C'est très cruel, vraiment....
Signaler un abusC'est amusant ce Russie "bashing". Plutôt que d'incriminer les crackers qui ne font qu'utiliser les portes laissées ouvertes volontairement ou non, on ferait mieux de mettre à l'index :
Signaler un abus* les DSI qui :
- laissent leur équipes utiliser telnet alors que c'est déconseillé depuis plus de 10 ans
- n'imposent pas à leurs équipes un minimum d'hygiène informatique : mise à jour de sécurité, fermeture des ports inutiles, utilisation de protocoles sécurisés, diversification des constructeurs de matériels (CISCO est connu pour laisser ou avoir laissé des failles de sécurité non corrigées pendant des années)
* les directions qui :
- ne jugent pas utile d'accorder les budgets nécessaires au remplacement des équipements obsolètes.
- ne jugent pas utile d'embaucher un ingénieur de plus pour assurer une bonne gestion de sécurité de leur parc de matériels.