Pourquoi les professionnels de la sécurité devraient prêter attention à ce que fait la Russie

FCDO une cible probable

Parlant à la suite de la nouvelle cette semaine que le Foreign, Commonwealth and Development Office (FCDO) avait été victime d’une cyberattaque, Barratt a déclaré qu’une sorte d’action de l’État-nation était probablement l’explication la plus probable de cet incident.

Le succès sur le FCDO n’a pas été divulgué et n’a été découvert que par le site Web de la technologie La pile lorsqu’il a trouvé un contrat FCDO publié de 467 325,60 £ pour fournir un soutien d’analyste commercial et d’architecte technique pour analyser un incident. Le contrat a été remis à BAE Systems sans appel d’offres en raison des circonstances extrêmes. Il peut être lu dans son intégralité ici.

La FCDO a seulement déclaré qu’elle avait été la cible d’un incident de cybersécurité grave, dont les détails supplémentaires n’ont pas pu être divulgués, et qu’elle avait besoin d’un soutien urgent pour y remédier et enquêter. Le ministère a publié une déclaration distincte à la BBC et à d’autres, mais a seulement déclaré qu’il ne commentait pas la sécurité, mais qu’il avait des systèmes en place pour se protéger et se défendre.

Barratt a déclaré qu’étant donné la nature sensible d’une grande partie du travail de la FCDO – le ministre des Affaires étrangères est, après tout, en fin de compte la personne à qui le MI6 rend compte – la probabilité qu’il y ait jamais eu un commentaire significatif sur l’attaque était proche de zéro. « Je soupçonne que c’est autant d’informations que nous obtiendrons », a-t-il déclaré.

« La valeur de l’accord était de plus de 400 000 £, donc je dirais que l’ampleur de l’incident était probablement assez lourde », a-t-il ajouté. « Il y a beaucoup de choses plausibles dont cela pourrait parler, mais connaissant le rôle du Foreign Office et son implication dans le renseignement, cela pourrait être un coup de feu à travers les arcs par une partie intéressée. »

Il est également important que les défenseurs comprennent que le FCDO aurait pu être violé par un certain nombre de moyens, et si les attaquants étaient des acteurs étatiques russes, ils n’auraient peut-être même pas eu à brûler un précieux jour zéro. Ils auraient tout aussi bien pu se faufiler au-delà des défenses du ministère en utilisant une ancienne vulnérabilité non corrigée, ou même par le biais d’un courriel d’hameçonnage.

En effet, selon la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, la federaL’équivalent approximatif du national de cybersécurité (NCSC) du Royaume-Uni, les APT des États-nations ont tendance à préférer les anciennes vulnérabilités non corrigées pour un certain nombre de raisons, la principale étant qu’elles sont rapides et faciles à exploiter.

Deux vulnérabilités particulièrement privilégiées au cours des deux dernières années ont été CVE-2019-19781 dans les appliances VPN Citrix et CVE-2019-11510 dans les serveurs Pulse Secure VPN. Aussi digne d’intérêt que CVE-2019-19781 était, Citrix a bien sûr corrigé la vulnérabilité, et deux ans plus tard, on n’en parle pas beaucoup, ce qui couvre les APT des États-nations et les gangs criminels.

CISA fournit des ressources supplémentaires aux équipes de sécurité informatique pour vérifier de temps en temps, sous la forme de son catalogue de vulnérabilités exploitées connues, qui fait exactement ce qu’il dit sur la boîte, fournissant des détails sur toutes les vulnérabilités et expositions communes (CVE) actuellement connues qui font l’objet d’une exploitation active – au moment de la rédaction, plus de 350 d’entre eux. Les défenseurs peuvent également s’abonner aux mises à jour.

Pourquoi devriez-vous également surveiller les fournisseurs de sécurité

Barratt a déclaré qu’il valait également la peine de garder un œil sur les réponses des fournisseurs aux cyberattaques au fur et à mesure qu’elles se déroulent, car elles peuvent fournir des indices précieux sur ce que font les APT des États-nations et ce qui pourrait être sur le point de filtrer dans la clandestinité criminelle.

« Il y a deux grandes dépendances », a-t-il déclaré. « La première est de savoir si la cible initiale de l’État-nation nécessite un exploit sophistiqué.

« Si c’est le cas, l’État-nation le compromet par le biais d’une nouvelle vulnérabilité de type zero-day, ou zero-day, le fournisseur recherche un correctif, et cela devient rapidement évident dans les nouvelles, et les criminels vont immédiatement le désosser, créer un exploit et l’utiliser pour cibler les entreprises. »

Si, d’autre part, une cyberattaque est révélée dans les nouvelles et que nous ne voyons pas une ruée soudaine de l’activité des fournisseurs, a déclaré Barratt, alors il s’agissait « probablement d’une campagne de phishing et d’un logiciel malveillant trivial ».

« Regardez ce qu’ils font pour pouvoir vous défendre contre un émulateur imitateur », a-t-il déclaré. « Ça manque un peu aux gens, et c’est probablement le conseil le plus important que je puisse donner.

« Je ne dis pas d’aller acheter beaucoup de choses, assurez-vous simplement que le modèle d’attaque ne contourne pas les défenses sur lesquelles vous comptez – parce que si vous savez quelque chose, vous pouvez parier que les cybercriminels le savent depuis plus longtemps. »