Il n'existe pas de meilleure façon d'entrer dans un système ciblé qu'en passant par une entreprise qui a elle-même déjà accès à l'entreprise visée. Cette tactique n'est pas nouvelle. La méthode qui consiste à attaquer une cible par son maillon le plus faible est éprouvée. C'est pour cette raison que les fournisseurs de services gérés (MSP), c'est-à-dire les entreprises embauchées pour gérer l'infrastructure IT d'autres entreprises, focalisent les attaques de pirates qui cherchent à s'introduire dans une entreprise ciblée. Typiquement, pour accéder aux systèmes de contrôle des MSP, les attaquants utilisent souvent des courriels ciblés. Une fois dans la place, ils exploitent les autorisations horizontales ou d'administration pour accéder à d'autres systèmes.
Ces attaques perpétrées par l'intermédiaire des MSP sont souvent qualifiées de menaces persistantes avancées ou APT (Adavanced Persistent Threat). Récemment, le FBI a même publié un document pour alerter les MSP sur ces attaques ciblées. Comme l'indique ce document, « le groupe de pirates APT10 cible fortement les fournisseurs de services gérés (MSP) qui offrent des services clouds et servent des clients commerciaux et des administrations, ou des entreprises de défense et des entités gouvernementales. Il utilise diverses techniques d'intrusion initiale, notamment l'hameçonnage et les attaques de malware. Une fois introduit, le groupe recherche des informations d'administration dans les systèmes MSP pour passer des réseaux clouds du MSP aux systèmes des clients et voler les données, mais aussi pour s'y maintenir. Ledit groupe a aussi mené des campagnes de phishing pour livrer des charges utiles malveillantes et compromettre leurs cibles ».
Il est toujours intéressant pour une entreprise de prendre le temps d'examiner ce genre de document et de déterminer si elle présente des risques d'attaques similaires. FireEye compile des informations sur les groupes APT. Leur but n'est pas de perturber l'entreprise attaquée, mais d'infiltrer silencieusement les systèmes pour en tirer plus d'informations sur le long terme.
Comment prévenir les attaques APT perpétrées via un MSP
Pour répondre à des incidents de compromission mondiaux passant par des MSP, le Centre australien de cybersécurité a publié des directives pour aider à prévenir de telles attaques. Voici ce que recommande notamment l'Australian Cyber Security Centre :
- Appliquer les correctifs sur les systèmes d'exploitation et les applications.
- Bloquer les macros de Microsoft Office dans les paramètres, aussi bien dans les emplacements autorisés avec accès en écriture limité, que les documents signés numériquement avec un certificat autorisé.
- Bloquer Flash (ou mieux encore, le désinstaller), les publicités et Java dans les navigateurs Web. Désactiver les fonctions inutiles dans Microsoft Office (par exemple, OLE), les navigateurs Web et les lecteurs PDF.
- Restreindre l'accès d'administration sur les systèmes et n'utiliser les droits d'administrateur de domaine que dans des situations limitées.
- Utiliser l'authentification multifacteur, y compris pour les VPN, RDP, SSH et autres accès à distance, et pour tous les utilisateurs quand ils effectuent une action avec privilège ou quand ils accèdent à un référentiel de données critiques (sensibles/à haute disponibilité).
- Effectuer des sauvegardes quotidiennes des données importantes, nouvelles ou modifiées, des logiciels et des paramètres de configuration, stockées, déconnectées, conservées pendant au moins trois mois. Tester la procédure de restauration une première fois, puis annuellement et chaque fois que l'infrastructure IT est modifiée.
Que faire après une attaque APT via un MSP ?
Si vous soupçonnez une compromission par l'intermédiaire d'un MSP, effectuez immédiatement les actions suivantes :
- Établir des méthodes de communication hors bande pour transmettre les procédures d'intervention en cas d'intrusion, informer les centres d'opération de réseau (NOC) et les centres gouvernementaux de veille, d'alerte et de réponse aux attaques informatiques (CERT) conformément aux politiques et procédures institutionnelles.
- Maintenir et surveiller activement les solutions de journalisation centralisées des hôtes et du réseau après s'être assuré que tous les périphériques ont activé la journalisation et que leurs journaux sont agrégés à ces solutions centralisées.
- Désactiver tout accès à distance (y compris le protocole de bureau à distance et le réseau privé virtuel) jusqu'à ce qu'un changement de mot de passe avec authentification à deux facteurs (2FA) ait été effectué.
- Lancer une inspection complète des couches SSL (Secure Socket Layer) et TLS (Transport Socket Layer) sur les périphériques situés dans le périmètre et les proxys.
- Surveiller les comptes et les dispositifs soupçonnés d'être impliqués dans le compromis afin de prévenir les tentatives de réacquisition.
- Recueillir des images d'analyses légales, y compris la capture en mémoire des dispositifs considérés comme faisant partie du compromis.
Sous 72 heures, réinitialiser le mot de passe à l'échelle du réseau avec une authentification à deux facteurs 2FA (en limitant de préférence l'accès à l'hôte local, et en interdisant toute modification à distance) pour :
- Tous les comptes de domaine (en particulier les comptes administrateurs assortis de privilèges élevés) ;
- Les comptes locaux;
- Les comptes machines et systèmes.
Il faut évidemment procéder ensuite à la récupération ou à la reconstruction de tout système pouvant abriter des portes dérobées, des rootkits ou tout autre mécanisme d'attaque persistant.
Cela paraît simple, n'est-ce pas ? Heureusement, il y a beaucoup de choses à faire pour éviter d'en arriver là.