Connect with us

Technologie

Pourquoi les professionnels de la sécurité devraient prêter attention à ce que fait la Russie

Published

on


Alors que la crise en Ukraine continue de bouillonner près du point d’ébullition, beaucoup avertissent que si un conflit armé éclate en Europe de l’Est, les groupes de menace persistante avancée (APT) soutenus par l’État russe sont susceptibles d’ouvrir un deuxième front cybernétique.

Et bien que les exploits de vulnérabilité conçus par les APT pour être utilisés dans ces scénarios de cyberguerre constituent peu de menace immédiate pour l’organisation moyenne, ils s’avéreront probablement très dangereux à long terme, de sorte qu’en prêtant attention à l’activité des États-nations, les professionnels de la sécurité informatique peuvent gagner un temps précieux pour faire face aux menaces de l’avenir.

C’est le point de vue du directeur général de Coalfire UK, Andy Barratt, qui, s’adressant à Computer Weekly cette semaine, a dénoncé ce qu’il a décrit comme une certaine attitude cynique envers les attaquants soutenus par l’État-nation parmi beaucoup de ceux qui ne les considèrent pas comme une menace pour la majorité des organisations qui ne sont ni des organismes gouvernementaux, ni des opérateurs d’infrastructures nationales critiques (CNI), ou des spécialistes dans des secteurs tels que la défense.

Bien que cela soit vrai, a déclaré Barratt, il est toujours important de garder un œil sur les attaques percutantes des États-nations. « La raison pour laquelle nous devons surveiller les acteurs des États-nations n’est pas parce qu’aucun d’entre nous est susceptible d’être ciblé par la Russie », a-t-il déclaré. « Il est très peu probable que UK plc soit ciblé par un État-nation, car il ne veut pas brûler ses capacités. Les Russes ne vont pas s’introduire dans les systèmes de M&S – ils se soucient moins de Colin le Caterpillar que nous. »

Barratt a déclaré que ce que beaucoup de gens manquent, c’est que les organisations risquent de devenir des dommages collatéraux d’une manière qu’elles ne veulent pas ou ne peuvent pas comprendre. En substance, a-t-il expliqué, si la Russie mène des cyberattaques contre des cibles ukrainiennes ou occidentales dans les phases d’ouverture d’une guerre cinétique plus large, les cybercriminels regarderont ce qu’ils ont fait, essaieront d’apprendre comment ils l’ont fait, puis ils ont imité ces tactiques contre des cibles commerciales.

« Les divers syndicats du crime qui surveillent l’activité des États-nations y voient un moyen facile d’obtenir un retour », a déclaré Barratt. « Si vous traitez les cybercriminels comme une entreprise qui fonctionne, leur observation de l’activité des États-nations améliore massivement leurs propres recherches sur de nouvelles techniques d’attaque… [and] une fois qu’ils auront un exploit de masse exploitable, ils l’utiliseront sur qui ils le pourront. »

« SolarWinds, par exemple, est passé d’une attaque d’État-nation à un déploiement généralisé par le crime organisé. Nous avons passé six à huit mois à travailler avec des clients sur des examens médico-légaux de leurs environnements SolarWinds à la recherche de dommages collatéraux. »

FCDO une cible probable

Parlant à la suite de la nouvelle cette semaine que le Foreign, Commonwealth and Development Office (FCDO) avait été victime d’une cyberattaque, Barratt a déclaré qu’une sorte d’action de l’État-nation était probablement l’explication la plus probable de cet incident.

Le succès sur le FCDO n’a pas été divulgué et n’a été découvert que par le site Web de la technologie La pile lorsqu’il a trouvé un contrat FCDO publié de 467 325,60 £ pour fournir un soutien d’analyste commercial et d’architecte technique pour analyser un incident. Le contrat a été remis à BAE Systems sans appel d’offres en raison des circonstances extrêmes. Il peut être lu dans son intégralité ici.

La FCDO a seulement déclaré qu’elle avait été la cible d’un incident de cybersécurité grave, dont les détails supplémentaires n’ont pas pu être divulgués, et qu’elle avait besoin d’un soutien urgent pour y remédier et enquêter. Le ministère a publié une déclaration distincte à la BBC et à d’autres, mais a seulement déclaré qu’il ne commentait pas la sécurité, mais qu’il avait des systèmes en place pour se protéger et se défendre.

Barratt a déclaré qu’étant donné la nature sensible d’une grande partie du travail de la FCDO – le ministre des Affaires étrangères est, après tout, en fin de compte la personne à qui le MI6 rend compte – la probabilité qu’il y ait jamais eu un commentaire significatif sur l’attaque était proche de zéro. « Je soupçonne que c’est autant d’informations que nous obtiendrons », a-t-il déclaré.

« La valeur de l’accord était de plus de 400 000 £, donc je dirais que l’ampleur de l’incident était probablement assez lourde », a-t-il ajouté. « Il y a beaucoup de choses plausibles dont cela pourrait parler, mais connaissant le rôle du Foreign Office et son implication dans le renseignement, cela pourrait être un coup de feu à travers les arcs par une partie intéressée. »

Il est également important que les défenseurs comprennent que le FCDO aurait pu être violé par un certain nombre de moyens, et si les attaquants étaient des acteurs étatiques russes, ils n’auraient peut-être même pas eu à brûler un précieux jour zéro. Ils auraient tout aussi bien pu se faufiler au-delà des défenses du ministère en utilisant une ancienne vulnérabilité non corrigée, ou même par le biais d’un courriel d’hameçonnage.

En effet, selon la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, la federaL’équivalent approximatif du national de cybersécurité (NCSC) du Royaume-Uni, les APT des États-nations ont tendance à préférer les anciennes vulnérabilités non corrigées pour un certain nombre de raisons, la principale étant qu’elles sont rapides et faciles à exploiter.

Deux vulnérabilités particulièrement privilégiées au cours des deux dernières années ont été CVE-2019-19781 dans les appliances VPN Citrix et CVE-2019-11510 dans les serveurs Pulse Secure VPN. Aussi digne d’intérêt que CVE-2019-19781 était, Citrix a bien sûr corrigé la vulnérabilité, et deux ans plus tard, on n’en parle pas beaucoup, ce qui couvre les APT des États-nations et les gangs criminels.

CISA fournit des ressources supplémentaires aux équipes de sécurité informatique pour vérifier de temps en temps, sous la forme de son catalogue de vulnérabilités exploitées connues, qui fait exactement ce qu’il dit sur la boîte, fournissant des détails sur toutes les vulnérabilités et expositions communes (CVE) actuellement connues qui font l’objet d’une exploitation active – au moment de la rédaction, plus de 350 d’entre eux. Les défenseurs peuvent également s’abonner aux mises à jour.

Pourquoi devriez-vous également surveiller les fournisseurs de sécurité

Barratt a déclaré qu’il valait également la peine de garder un œil sur les réponses des fournisseurs aux cyberattaques au fur et à mesure qu’elles se déroulent, car elles peuvent fournir des indices précieux sur ce que font les APT des États-nations et ce qui pourrait être sur le point de filtrer dans la clandestinité criminelle.

« Il y a deux grandes dépendances », a-t-il déclaré. « La première est de savoir si la cible initiale de l’État-nation nécessite un exploit sophistiqué.

« Si c’est le cas, l’État-nation le compromet par le biais d’une nouvelle vulnérabilité de type zero-day, ou zero-day, le fournisseur recherche un correctif, et cela devient rapidement évident dans les nouvelles, et les criminels vont immédiatement le désosser, créer un exploit et l’utiliser pour cibler les entreprises. »

Si, d’autre part, une cyberattaque est révélée dans les nouvelles et que nous ne voyons pas une ruée soudaine de l’activité des fournisseurs, a déclaré Barratt, alors il s’agissait « probablement d’une campagne de phishing et d’un logiciel malveillant trivial ».

« Regardez ce qu’ils font pour pouvoir vous défendre contre un émulateur imitateur », a-t-il déclaré. « Ça manque un peu aux gens, et c’est probablement le conseil le plus important que je puisse donner.

« Je ne dis pas d’aller acheter beaucoup de choses, assurez-vous simplement que le modèle d’attaque ne contourne pas les défenses sur lesquelles vous comptez – parce que si vous savez quelque chose, vous pouvez parier que les cybercriminels le savent depuis plus longtemps. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance