Actualités Isogeo

Newsletter Isogeo

Je souhaite également recevoir les invitations aux webinaires organisés par Isogeo
Je reconnais avoir pris connaissance de notre politique de confidentialité

Veuillez saisir vos nom, prénom et courriel et valider la politique de confidentialité
28
Nov
2024

Panorama des cybermenaces entre avril et juin 2024 analysé sous le prisme du cadre MITRE ATT&CK

Equipe Isogeo

 

Illustration cybersécurité

 

Les collectivités territoriales sont notoirement victimes de cybermenaces plus ou moins sophistiquées (voir à ce sujet la synthèse des cybermenaces qui les visent établie par l’ANSSI fin 2023 : Rapport menaces et incidents - CERT-FR (ssi.gouv.fr)).

Elles sont en effet perçues par les cybercriminels qui les ciblent soit par opportunisme lucratif comme c’est majoritairement le cas, ou encore à des fins de déstabilisation, voire d’espionnage, comme des proies de choix, requérant de leur part un effort minimum pour un impact garanti et visible sur les multiples champs de compétence mis au service de leurs administrés dont elles sont par ailleurs dépositaires des données personnelles, et qui en subissent souvent les conséquences directes, allant de l’affectation des services de transports et hospitaliers à la compromission de l’identité numérique des concitoyens.

Particulièrement, entre avril et juin 2024, une recrudescence notable d'attaques a été observée (en voir la synthèse établie par les services d’intelligence de la menace de Microsoft : Intel Article - Microsoft Defender), nécessitant une évaluation rigoureuse des menaces pour prioriser les efforts de cybersécurité visant à s’en prémunir.

Dans cette perspective, le cadre “MITRE ATT&CK” offre une méthodologie structurée pour analyser les tactiques, techniques et procédures (TTP) utilisées par les attaquants.

 

 

Phases d’une cyberattaque selon MITRE ATT&CK

 

Pour comprendre les mécanismes d'attaque et renforcer les défenses, il est crucial de décortiquer les différentes phases d’attaques déployées par les cybercriminels. Ces phases sont illustrées dans le cadre MITRE ATT&CK, qui fournit une vue d'ensemble des méthodes employées par ces derniers, pour pénétrer les réseaux de leurs victimes, y faire persister des programmes malveillants, et compromettre ou exfiltrer les informations sensibles qu’ils recèlent.

Nous explorerons les principales tactiques récemment observées, en commençant par les étapes initiales de l'accès aux réseaux, en poursuivant par les techniques de contournement des mécanismes de défense en place, pour arriver au contrôle à distance de l'exfiltration ou la compromission des données.

Pour faciliter la compréhension du jargon du domaine de la cybersécurité utilisé au sein de ce document, il est recommandé de faire référence au CyberDico de l’ANSSI.

 

Accès initial aux réseaux

 

L’infiltration des réseaux commence souvent par des campagnes de phishing ciblées et des attaques par force brute sur des systèmes exposés sur Internet. Les courriels de phishing à destination des employés sont particulièrement efficaces pour obtenir des informations d'identification et installer des logiciels malveillants. Les systèmes exposés sur Internet et dont la sécurité d’accès n’a pas été renforcée à de multiples niveaux ne le sont pas moins.

En juin 2024, par exemple, l’Agence Française Nationale de la Sécurité des Systèmes d’Information (ANSSI) et ses partenaires ont détecté plusieurs cyberattaques contre des entités diplomatiques françaises, attribuées au groupe Nobelium (suivi par Microsoft sous le nom de Midnight Blizzard). Ces attaques incluaient du phishing ciblant des entités publiques et diplomatiques françaises pour exfiltrer des informations stratégiques.

 

Contournement des mesures de défense

 

Pour éviter la détection, les attaquants utilisent fréquemment des techniques de contournement des mesures de défense. Cela inclut l'utilisation de logiciels malveillants déguisés en applications légitimes, l'exploitation de vulnérabilités non corrigées et l'obfuscation des codes malveillants, technique par laquelle le code source d’un script malveillant est modifié pour rendre difficile ou impossible l’analyse d’innocuité.

Par exemple, en mai 2024, les chercheurs de Forcepoint ont découvert une campagne de logiciels malveillants nommée DarkGate par laquelle les victimes recevaient des fichiers PDF frauduleux déguisés en factures, envoyés depuis un e-mail compromis. Cela conduisait finalement à l’exécution d’un script AutoIt qui utilisait des techniques de camouflage pour dissimuler ses activités.

 

Commande et contrôle

 

Une fois à l'intérieur des systèmes, les cybercriminels établissent des canaux de commande et contrôle (C2) pour gérer leurs opérations à distance, en y faisant transiter des communications chiffrées pour échapper à la surveillance des systèmes de sécurité.

L’infrastructure de ces canaux est parfois déjà légitimement en place, ce qui facilite d’autant la tâche aux cybercriminels, comme ce fut le cas en juin dernier dans le cadre de la campagne NetSupport rapportée par l’institut technologique de cybersécurité SANS : les cybercriminels abusaient du mécanisme App Installer de Microsoft, depuis désactivé par défaut sur les poste Windows récemment mis à jour, permettant la distribution via Internet de programmes d’installation, pour installer sur les postes de leurs victimes un client de communication de configuration illégitime à leur avantage pour prendre le contrôle de ces postes via la solution de support et de contrôle à distance légitime NetSupport Manager

 

Exécution

 

Avec l'accès et le contrôle établis, les attaquants déploient des scripts malveillants et des logiciels de type ransomware pour exécuter des charges utiles nuisibles. Ces actions visent à perturber les services publics critiques et à exiger des rançons pour restaurer les systèmes affectés.

Les cybercriminels abusent très fréquemment pour ce faire de l’interface de commande  PowerShell de Microsoft, présente notamment sur les systèmes Windows.

Ainsi, en avril 2024, eSentire a observé que le groupe FIN7, basé en Russie, utilisait des scripts PowerShell malveillants pour distribuer l’outil d’accès à distance NetSupport via un site Web malveillant sponsorisé par des publicités Google : l’exécution d’attaques via le poste utilisateur compromis consécutivement à une campagne de phishing est en effet une technique d’attaque éprouvée.

Cet incident soulignent l'importance de sensibiliser les utilisateurs, d’avoir des solutions de protection des terminaux efficaces et de limiter les privilèges administratifs locaux : Microsoft a noté que dans presque toutes les attaques réussies au ransomware, les attaquants disposaient d’un compte administrateur et de mots de passe d’administrateur local sur les postes compromis.

 

Exfiltration

 

Les cybercriminels procèdent ensuite à l'exfiltration des données sensibles, telles que les informations personnelles des citoyens, les données financières et les documents confidentiels, majoritairement au travers des canaux C2 de commande et contrôle préétablis, après collecte par des logiciels espions. Ces informations sont alors transférées vers des serveurs contrôlés par les attaquants ou encore vendues sur le dark web.

Les logiciels espions sont des programmes malveillants destinés à voler des informations sur un appareil ciblé et à les transférer à l’attaquant. La popularité de ces logiciels a engendré la création d’un écosystème dédié aux voleurs de données et l’émergence d’une nouvelle catégorie d’attaquants exploitant ces capacités pour leurs attaques. Cet écosystème a permis à de nouveaux acteurs malveillants d’utiliser ces outils pour extraire des données et détériorer des ressources.

 

Impact

 

Enfin, l'impact des attaques se matérialise à travers des perturbations dans les services, des pertes financières, et des atteintes à la réputation des collectivités. Les attaquants peuvent également utiliser des ransomwares pour chiffrer les données et exiger une rançon, laissant les organisations paralysées jusqu'à ce que des mesures de recouvrement soient mises en œuvre.

En juillet 2024, l’équipe de chasseurs de menaces de Symantec a signalé que LockBit restait la principale menace de ransomware, suivi par Play, 8Base (filiale de Phobos), et le ransomware émergent Qilin.

L’exploitation des vulnérabilités connues dans les applications publiques demeurerait ainsi le vecteur d’attaque principal, avec par exemple des campagnes visant les serveurs Web via une vulnérabilité du framework de développement Web PHP récemment découverte (CVE-2024-4577).

De plus, le retour du ransomware Clop, dirigé par le groupe Snakefly, indique un recours aux attaques classiques de double extorsion par lesquelles les données sont à la fois exfiltrées et chiffrées.

En dépit des actions coordonnées au niveau international des forces de l’ordre pour lutter contre cette menace, les ransomwares devraient rester une menace significative pour les entreprises dans un avenir prévisible.

 

 

Techniques et contre-mesures pour chaque phase

 

Accès initial

 

Techniques :

  • Phishing ciblé : envoi de courriels frauduleux pour tromper les utilisateurs et obtenir leurs informations d'identification.
  • Attaques par force brute : tentatives répétées de deviner les mots de passe pour accéder aux systèmes.

Contre-mesures :

  • Authentification multifactorielle (MFA) : ajout d'une couche de sécurité supplémentaire pour vérifier l'identité des utilisateurs.
  • Sensibilisation et formation des employés : programmes réguliers pour éduquer les employés sur les dangers du phishing.
  • Filtrage des courriels : utilisation de solutions de sécurité des courriels pour détecter et bloquer les courriels de phishing, comme les solutions françaises Mailo Collectivités et Mairiestem le proposent ou encore la solution Microsoft Defender pour Office 365.

 

Contournement des mesures de défense

 

Techniques :

  • Malwares déguisés : logiciels malveillants camouflés en applications légitimes.
  • Exploitation de vulnérabilités : utilisation de failles non corrigées dans les logiciels et systèmes.
  • Obfuscation de code : techniques pour cacher le code malveillant et éviter la détection.

Contre-mesures :

  • Mise à jour régulière des logiciels : application des correctifs de sécurité pour combler les vulnérabilités au travers, par exemple, de la solution Intune de Microsoft pour automatiser la gestion des points de terminaison.
  • Solutions anti-malware : utilisation de logiciels de sécurité pour détecter et éliminer les malwares, comme la solution EDR européenne proposée par HarfangLab.
  • Audit de sécurité et tests de pénétration : évaluation régulière des systèmes pour identifier et corriger les failles. Voir sur ce sujet le parcours cybersécurité proposé par l’ANSSI et le retour d’expérience de la ville de Charenton-le-Pont sur son application.

 

Commande et contrôle alias C2

 

Techniques :

  • Serveurs C2 externes : utilisation de serveurs distants pour contrôler les systèmes compromis.
  • Communications chiffrées : chiffrement des données de commande pour éviter la détection.

Contre-mesures :

  • Détection et blocage des communications suspectes : surveillance du trafic réseau pour identifier et bloquer les communications C2.
  • Isolation des systèmes compromis : mise en quarantaine des systèmes infectés pour empêcher la propagation.
  • Utilisation de solutions de détection des intrusions (IDS) et de prévention des intrusions (IPS) : outils pour identifier et bloquer les activités malveillantes.

 

Exécution

 

Techniques :

  • Scripts malveillants : exécution de scripts pour déployer des charges utiles nuisibles.
  • Ransomwares : logiciels de rançon qui chiffrent les données et exigent un paiement pour les déchiffrer.

Contre-mesures :

  • Segmentation du réseau : division du réseau en segments pour limiter la propagation des malwares.
  • Sauvegardes régulières : réalisation de sauvegardes fréquentes et tests de restauration réguliers pour restaurer les données en cas d'attaque de ransomware.
  • Blocage de l'exécution de scripts non autorisés : utilisation de politiques de sécurité pour empêcher l'exécution de scripts non approuvés.

 

Exfiltration

 

Techniques :

  • Transfert de données sensibles : envoi de données volées vers des serveurs contrôlés par les attaquants.
  • Vente sur le dark web : mise en vente des données exfiltrées sur des marchés illégaux.

Contre-mesures :

  • Chiffrement des données : utilisation de techniques de chiffrement pour protéger les données sensibles.
  • Surveillance du trafic réseau : analyse du trafic sortant pour détecter et bloquer les exfiltrations de données.
  • Gestion des droits d'accès : limitation des accès aux données sensibles uniquement aux utilisateurs autorisés.

 

Impact

 

Techniques :

  • Ransomwares : chiffrement des données et demande de rançon pour les restaurer.
  • Sabotage : perturbation des services publics et destruction des données.

Contre-mesures :

  • Plan de continuité des activités : établissement de procédures pour maintenir les opérations en cas d'attaque.
  • Recouvrement des systèmes : utilisation de sauvegardes et de stratégies de recouvrement pour restaurer les systèmes affectés.
  • Renforcement des mesures de sécurité : amélioration continue des politiques et des outils de sécurité pour parer aux nouvelles menaces.

Les témoignages officiels de collectivités impactées par une cyberattaque concluante peuvent être consultées sur ce site de référence : Témoignages de collectivités victimes de cyberattaques - assistance aux victimes de cybermalveillance.

 

 

 

La période d'avril à juin 2024 a mis en lumière une sophistication accrue des cybermenaces auxquelles sont exposées les collectivités territoriales depuis plusieurs années.

En utilisant le cadre MITRE ATT&CK pour analyser les menaces et prioriser les efforts de sécurité, les collectivités peuvent mieux protéger leurs systèmes et services critiques, même avec des ressources limitées. 

Une approche proactive et bien informée est essentielle pour faire face aux menaces cybernétiques croissantes et assurer la résilience des infrastructures publiques.

Isogeo, en tant qu’éditeur d’une solution de gestion des données géographiques hébergée aussi bien en mode SaaS qu’en mode dit on-premises dans l’environnement de ses clients, doit également s’armer pour faire face à ces menaces et accompagner ses clients dans le respect des bonnes pratiques.