Nouvelle-Zélande active les services de sécurité que la panne DDoS entre quatrième jour

Le gouvernement néo-zélandais a demandé à ses services nationaux de cybersécurité d’enquêter alors que la Bourse de Nouvelle-Zélande (NZX) reste hors ligne pour une quatrième journée de négociation à la suite d’une attaque volumétrique sans précédent de déni de service distribué (DDoS) qui a visé l’organisation par l’intermédiaire de son fournisseur de services réseau.

La bourse d’Auckland avait brièvement repris ses échanges dans la matinée du vendredi 28 août, mais a de nouveau été contrainte de cesser ses activités en raison de problèmes de connectivité réseau et – au moment d’écrire ces lignes – le site Web de l’échange est resté inaccessible à partir d’une adresse IP britannique.

Dans des remarques faites lors d’une conférence de presse, le ministre néo-zélandais des Finances, Grant Robertson, a confirmé que le Government Communications Security Bureau (GCSB) et le National Cyber Security Centre (NCSC) enquêtaient activement.

« Je ne peux pas entrer dans beaucoup plus de détails précis, si ce n’est dire que nous, en tant que gouvernement, traitons cela très sérieusement. Nous sommes conscients de l’impact qu’il a et c’est pourquoi nous avons ordonné au GCSB d’aider le NZX dans cette situation », a-t-il déclaré.

NZX PDG Mark Peterson a déclaré que l’attaque était clairement un problème de connectivité des systèmes et non pas un problème de données ou d’intégrité des communications, mais a déclaré que NZX ne serait pas fournir plus de détails sur la nature précise de l’attaque ou toute contre-mesure qu’il met en place, étant donné la situation est toujours en développement.

Miles Tappin, vice-président Europe, Moyen-Orient et Africe (EMEA) chez ThreatConnect, a déclaré : « Il y a diverses motivations derrière les attaques DDoS, y compris les tactiques politiques, éthiques ou d’extorsion et elles ont été généralement ignorées comme un problème majeur de cybersécurité au sein de l’industrie.

« En raison du fait que les attaques DDoS ne volent rien, mais ralentissent ou arrêtent les entreprises sur leurs traces – de nombreuses organisations ont fermé les yeux pour les atténuer », a-t-il déclaré.

« Bien que les attaques DDoS durent généralement quelques minutes à quelques heures, nous avons commencé à les voir s’étendre à des jours, voire des semaines, ce qui peut avoir un impact significatif et durable sur n’importe quelle entreprise. La Nouvelle-Zélande et d’autres États du monde entier doivent utiliser cette attaque pour rappeler l’importance de protéger leurs infrastructures nationales essentielles », a ajouté M. Tappin.

Le fondateur et PDG d’Immuniweb, Ilia Kolochenko, a émis l’idée que l’attaque contre NZX pourrait être une répétition générale pour une attaque plus importante contre une cible plus importante, comme le NASDAQ ou les bourses de Londres.

« e ne pense pas que les grands cybergangs ont leur propre intérêt dans, ou ont été embauchés par quelqu’un, pour mener un DDoS capable de fermer à plusieurs reprises NZX [when] même une panne quotidienne de nyse peut conduire à des pertes de plusieurs milliards dans le monde entier », at-il dit.

« Malheureusement, on ne peut pas faire grand-chose pour prévenir les attaques DDoS à grande échelle et bien préparées aujourd’hui. Pendant la pandémie, le prix moyen des bots utilisés pour le DDoS a chuté et deviendra probablement encore plus abordable.

« Lorsque des millions d’appareils déclenchent soudainement une attaque massive, il s’agit d’une question de capacité réseau et non de sécurité réseau. Nous avons été témoins de nombreux exemples dans le passé, lorsque même les plus grandes sociétés de protection DDoS cessé de protéger certains de leurs clients sous DDoS exceptionnellement grand et a abandonné.

« Les applications Web et les API [application programming interfaces] devrait toutefois être régulièrement audité pour la logique d’entreprise et les failles de sécurité architecturale qui peuvent consommer tous les CPU /RAM et faciliter grandement une attaque DDoS. »

L’attaque contre NZX aurait pris naissance au large, selon Spark, le fournisseur de services réseau de l’échange, mais d’autres détails de son origine sont minces sur le terrain.

Cependant, il est possible qu’il soit lié à une série de menaces d’extorsion DDoS proférées plus tôt en août contre des cibles financières et de détail par des groupes avancés de menaces persistantes (APT) qui prétendent, bien que non confirmés, être Armada Collective et Fancy Bear – ce qui peut suggérer un lien avec des groupes russes.

Ces menaces, qui ont été suivies par Akamai, impliquent des demandes de rançon envoyées à l’organisation cible, menaçant une attaque DDoS à grande échelle à moins qu’elles ne soient payées en bitcoin. La demande d’Armada Collective commence à cinq bitcoins passant à 10 si la date limite est manquée, et la demande Fancy Bear commence à 20 bitcoins et monte à 30 si la date limite est manquée, avec un supplément de 10 pour chaque jour supplémentaire.

Akamai soupçonne que les demandes proviennent de groupes imitateurs utilisant la réputation de groupes APT connus pour intimider leurs cibles.

« i votre organisation reçoit une lettre d’extorsion, Akamai recommande que la rançon ne soit pas payée, car il n’y a aucune garantie que les attaquesD. En outre, payer des demandes de rançon ne fera que financer davantage le groupe qui les a perpétrés », a déclaré Akamai.