Avant toute chose, je précise que ce mail n’est pas sponsorisé #trollsModeOFF, merci.
Depuis le début de ce blog, j’ai fais le choix d’écrire en français, car j’estime qu’il y a suffisamment de contenu anglophone à disposition sur Internet et qu’il y a avait une volonté marquée de situer ce petit projet en Suisse romande.
Dans le même état d’esprit, c’est naturellement que je m’intéresse aux organisations et associations locales qui proposent des événements, que ce soit des conférences, des ateliers ou autres, et qui en définitive participent à la vie de la cyber sécurité en Suisse romande.
Conférence « Cyberexigences : de la théorie à la pratique » du CLUSIS
C’est dans ce contexte que j’ai découvert et adhéré en 2021 à l’association suisse de la sécurité de l’information (depuis 1989 svp), plus communément connue sous le nom du CLUSIS.
Ouvert a tous, le CLUSIS est une plateforme d’échanges entre experts provenant du monde politique, économique et académique en Suisse et à l’étranger.
Les risques et menaces ont évolué depuis la création de l’Association et les métiers autour de la sécurité des systèmes d’information se sont complexifiés. Aujourd’hui, le Clusis est une véritable plateforme d’échanges entre plus de 400 experts : professeurs chevronnés du monde académique, professionnels compétents de la sécurité ou des PME impliquées dans ces problématiques. Grâce à ses événements virtuels et présentiels, ses conférences ciblées et pointues, ses formations, le Clusis partage son savoir avec les entreprises et experts intéressés. Le succès de ces échanges témoigne de la qualité des intervenants et de leurs apports mutuels.
COVID oblige, les événements présentiels n’avaient pas pu être organisés depuis la pandémie. C’est donc avec joie et curiosité que je me suis inscrit à la conférence « Cyberexigences : de la théorie à la pratique », qui a eu lieu le 22 novembre 2022 dernier au Stade de la Tuilière, à Lausanne.
J’y ai découvert une organisation à taille humaine, avec une proximité qui fait souvent défaut lors d’événements plus commerciaux. Certes, des sponsors étaient présents, mais l’étaient dans le but d’échanger, discuter et non de vendre ou de se mettre en avant.
Les intervenant étaient de qualité et légitimes, les tables rondes intéressantes et sans tabou. Pour ceux qui me connaissent, j’ai pu poser toutes les questions que je voulais, sans langue de bois et les réponses ne se limitaient pas qu’à du politiquement correct.
En résumé, j’ai beaucoup apprécié cet événement, les sujets traités ainsi que les personnes rencontrées.
Que ce soit pour le CLUSIS ou d’autres organisations, je vous encourage fortement à participer à ce genre d’activités qui font vivre l’écosystème cyber sécurité Suisse romand.
OldGremlim, également connu sous le nom de TinyScouts, est un groupe cybercriminel aux cibles essentiellement financières qui a commencé ses actes en 2020.
Dès lors, le groupe a revendiqué plus de 15 campagnes de cyberattaques dont la demande de rançon maximale a atteint le chiffre record de 16,9 millions de dollars cette année.
Cela est souvent dû au fait que les criminels étudient leurs victimes en profondeur et adaptent la demande de rançon au niveau financier de l’entité ciblée.
La recherche a été menée par la société de sécurité informatique « Group-IB ». L’entreprise a partagé un rapport sur les ransomwares dans les années 2021/2022.
Le rapport souligne que la cible de ces cybercriminels sont les entreprises de logistique, d’assurance, de développement et les banques.
Autre constatation notable, la quasi-totalité des cibles sont centralisées dans des entreprises russes, ce qu’elles ont en commun avec d’autres cybercriminels comme Dharma, Crylock et Thanos.
L’attaque commence généralement par la diffusion d’e-mails usurpant l’identité d’entités importantes et incitant au téléchargement de fichiers frauduleux. Ils élèvent ensuite les privilèges sur les machines infectées en exploitant les vulnérabilités de Cobalt Strike ou les failles de Cisco AnyConnect. Finallement, il y a une phase de collecte de données sur une grande période de temps, généralement autour des 50 jours.
Les principaux fichiers qui composent l’attaque sont les suivants :
TinyLink : Faux fichier de téléchargement.
TinyPosh : script PoerShell pour la collecte et le transfert d’informations sensibles.
TinyNode : Backdoor avec interpréteur Node.js agissant comme C2.
TinyFluff : Successeur de TinyNode qui agit comme C2.
TinyShell : Script pour l’élimination des données.
TinyCrypt : script de cryptage basé sur .NET.
Structure de l’attaque
Bien que, comme indiqué plus haut, ils touchent principalement les entités russes, les chercheurs en sécurité signalent qu’il s’agit d’une action purement tactique et que l’expansion à d’autres périmètres pourrait avoir lieu à tout moment.
On constate également que la cible principale est souvent les machines Windows, mais c’est purement technique, car c’est sur ce système que tourne le plus grand nombre de machines. Les cybercriminels ont développé une version de TinyCrypt écrite en GO qui affecte les machines avec des environnements Linux.
La société Sysdig a découvert que plus d’un millier d’images de conteneurs hébergées sur le populaire dépôt Docker Hub contiennent du code malveillant, ce qui présente un grand risque de subir une cyberattaque. Cette information a été rendue publique par un rapport de la même société, où l’on indique que les images contiendraient des actifs malveillants de différents types tels que des cryptomineurs, des portes dérobées et des détourneurs de DNS.
Les images de conteneurs sont des « modèles » avec lesquels nous pouvons déployer des applications rapidement et facilement, sans devoir repartir de zéro puisque certaines fonctionnalités sont réutilisées. Les images sont téléchargées à partir de Docker Hub, ce site web permet aux utilisateurs de charger et de télécharger ces images dans sa bibliothèque publique, y compris les images officielles des développeurs de logiciels.
Le projet de bibliothèque Docker examine ces images et vérifie celles qu’il considère comme sûres, mais beaucoup restent non vérifiées. Sysdig a analysé automatiquement 250 000 images Linux non vérifiées et a constaté que 1 652 d’entre elles contenaient des éléments malveillants.
Sysdig a déclaré que ces images contenaient des « clés intégrées » qui permettent à un attaquant d’obtenir un accès après l’installation du conteneur en chargeant la clé publique depuis un serveur distant, ce qui permet au propriétaire de la clé privée correspondante d’ouvrir un shell et d’exécuter des commandes via SSH, ce qui revient à installer une porte dérobée.
Une technique utilisée par les attaquants pour faire télécharger leurs images malveillantes consiste à leur donner un nom presque identique, à quelques variantes près, à celui d’une image populaire et sûre. Ce phénomène, appelé typosquattage, est une stratégie populaire et fructueuse utilisée par les cyberattaquants sur des images compromises ou des versions non officielles d’images populaires et fiables dans l’espoir que les utilisateurs ne le remarquent pas et téléchargent leur version frauduleuse à la place.
Sysdig affirme que cette année, le nombre d’images retirées de la bibliothèque publique en raison de tels incidents a augmenté d’environ 15 %. Ce n’est qu’un indicateur que le problème ne fait que commencer, et il est recommandé de faire particulièrement attention aux images que vous téléchargez et utilisez.
Il y a actuellement une plus grande acceptation de la sécurisation des systèmes informatiques des entreprises et des institutions publiques, surtout après l’irruption du ransomware Wannacry en mai 2017. Toutefois, cette acceptation n’est pas totale, et de nombreuses entreprises et personnes ordinaires hésitent encore à le faire, se posant la même question : « Mais qui donc va m’attaquer ? ».
Depuis que Wannacry est devenu public en mai 2017, les entreprises ont commencé à être plus conscientes de la nécessité de mettre en place un système sécurisé dans leurs équipements et services, mais il y a encore beaucoup d’institutions qui n’ont pas mis en place ce type de système et, si elles l’ont fait, elles n’ont pas mis en œuvre des politiques de sécurité correctes.
Pourquoi des mesures ne sont-elles pas prises ?
Il existe plusieurs raisons pour lesquelles les entreprises et les particuliers ne prennent pas suffisamment de mesures, mais la plupart d’entre elles peuvent se résumer en un mot : désinformation.
Les médias d’information, pour la plupart, exposent les attaques menées contre les grandes entreprises ou institutions parce que ces nouvelles auront un grand impact et, de plus, il est plus difficile pour une petite entreprise de s’exposer publiquement. En outre, les informations diffusées dans les médias seront biaisées par ce que l’entreprise vous dit.
Une grande entreprise, par exemple, dira à un interlocuteur qu’elle est confrontée à un nouveau ransomware, un virus malveillant, ou que ses données ont été divulguées. Cependant, il ne dira normalement pas comment cela s’est produit ni quel était le vecteur d’entrée de l’attaquant, sauf à une autorité de cybersécurité (NCSC, NIST, CSIRT, etc.).
Phishing et vishing
Il est également possible qu’en raison du type de nouvelles sur les attaques qui apparaissent dans les médias, lorsque nous pensons à une attaque, nous pensons à un logiciel malveillant, à un ransomware, à un virus… Cependant, nous ne pensons généralement pas aux attaques de phishing ou de vishing, qui sont des attaques d’ingénierie sociale.
Le phishing consiste à inciter une personne à partager des informations confidentielles, telles que des mots de passe ou des cartes de crédit, au moyen d’un lien envoyé par courrier électronique ou par SMS, en se faisant passer pour une autre entité.
Le vishing consiste également à inciter l’utilisateur à partager des informations, mais par le biais d’un appel électronique, et ne nécessite pas de connaissances informatiques pour mener à bien cette cyber-attaque.
Ces types d’attaques sont très courants de nos jours, outre le fait qu’ils constituent un important vecteur d’entrée dans le système et qu’avec un peu de sensibilisation, il est possible de les atténuer.
Quels sont les problèmes ?
Il y a deux problèmes majeurs :
Si les attaques montrées ne concernent que les grandes entreprises ou institutions, les gens pensent que, s’ils ne font pas partie de ces membres, ils ne seront pas attaqués. Par conséquent, les PME et les personnes ordinaires ne vont pas s’inquiéter de la sécurisation de leurs systèmes.
Si, en outre, ces actualités ne comportent pas les vecteurs d’entrée des attaquants, il est très probable qu’elles ne seront pas prises en compte dans les systèmes à sécuriser. Par exemple, un élément clé de la sécurisation d’un système est la sensibilisation, car un logiciel malveillant peut s’introduire par hameçonnage ou des données peuvent être volées par un simple hameçonnage vocal.
Et pourquoi les petites entreprises ne signalent-elles pas publiquement les attaques ?
Lorsqu’une petite entreprise est attaquée, deux choses principales peuvent se produire :
Si l’attaque n’est pas puissante et qu’ils y survivent, ils ne s’exposeront pas eux-mêmes dans les médias publics, car ils exposeraient que leurs systèmes ne sont pas sécurisés. Une grande entreprise a son public déjà établi, mais pas une PME, qui perdrait des opportunités de marché et pourrait donc facilement faire faillite.
Si l’attaque est puissante et que l’entreprise n’y survit pas, ce sont les responsables de la sécurité qui perdront ces opportunités de marché et peut-être même les chances de travailler à nouveau dans le secteur.
C’est pourquoi il y a tant de désinformation sur le sujet. Cependant, certains éléments, tels que ceux examinés dans cet article, nous permettent de vérifier qu’effectivement, les PME et les particuliers sont également attaqués.
Alors, que nous montrent-ils ?
Outre les méthodes d’information classiques, il existe des sites web et des éléments qui nous présentent ce type d’informations de manière plus détaillée, comme les analyses d’acteurs du marché (IBM, Kaspersky, etc…). En outre, vous pouvez également vous tenir au courant des dernières nouvelles sur ce sujet sur ce blog 🙂 .
Ces sites présentent les dernières vulnérabilités découvertes dans les systèmes informatiques, ainsi que des statistiques sur les attaques les plus courantes et les lieux où ces attaques ont été menées. Par exemple, Kaspersky présente ici des statistiques sur les cybermenaces financières en 2021.
Dans ces statistiques, on peut voir qu’il y a eu pas mal de campagnes de phishing (8,2%), principalement des attaques de phishing visant le commerce électronique. En outre, ces attaques visaient principalement les passerelles de paiement telles que Paypal ou Mastercard, qui sont des moyens de paiement largement utilisés par la population générale.
Il nous montre également les plateformes que les attaquants usurpent le plus, comme Apple, Amazon, eBay ou Alibaba, des sites web sur lesquels nous avons l’habitude d’acheter un grand nombre d’articles en permanence et auxquels, en cas d’attaque, nous devons être préparés pour éviter de nous faire dérober.
Conclusion
Aujourd’hui, de nombreuses personnes ne se soucient pas outre mesure de la protection de leurs données en ligne ou de la fourniture d’un service entièrement sécurisé. Ils pensent, à cause des médias, que rien ne leur arrivera et n’ont pas à l’esprit qu’ils sont les plus facilement attaqués.
Si une personne est capable de vous voler dans la vie réelle sans appartenir à une grande entreprise, pourquoi ne serait-elle pas capable de vous voler sur Internet ? Et si vous mettez des alarmes, des chiens de garde et des systèmes de surveillance sur votre porte d’entrée, pourquoi ne le feriez-vous pas sur vos systèmes virtuels ?
Ou encore plus simple : si vous verrouillez votre porte d’entrée chaque fois que vous sortez, même si vous ne travaillez pas pour une multinationale, pourquoi ne pas le faire sur le web ?
Actuellement, les utilisateurs d’Azure ont la possibilité de se connecter à leurs serveurs bastion via des connexions SSH et RDP avec un client natif ou en utilisant l’interface web. Cependant, il est possible d’effectuer des attaques contre les VM Azure via Azure Bastion et son client natif.
D’après la documentation de Microsoft, il existe deux options par lesquelles un utilisateur peut établir une connexion avec le client natif à un serveur bastion. Celui qui peut être utilisé par un attaquant est celui dans lequel un plus grand nombre d’options concernant la connexion peuvent être spécifiées :
Lorsque vous exécutez la commande ci-dessus, Azure CLI crée un tunnel et écoute sur un port local. C’est en se connectant à ce port local avec le client natif que l’utilisateur accède à la VM interne via le protocole utilisé (par exemple RDP).
Pour comprendre le processus d’attaque, il faut d’abord voir comment se déroule le flux de travail du client natif :
Flux de travail du client natif d’Azure Bastion. Source de l’image : Codyburked.com
Après avoir reçu une commande via l’API pour démarrer une nouvelle session, Azure Bastion effectue trois actions :
Crée une connexion TCP entre le serveur Bastion et la VM cliente, sur le port spécifié dans la requête API.
Il crée une nouvelle clé de session associée à ce port.
Il accepte une nouvelle connexion websocket en utilisant la clé de session, et transfère toutes les informations de la connexion websocket à la connexion TCP de la VM interne.
Du côté client, Azure CLI effectue les opérations suivantes :
Écoute sur un port local.
Il accepte les nouvelles connexions sur ce port, et pour chaque connexion, il appelle l’API du service de base pour démarrer une nouvelle session, comme décrit ci-dessus.
Il crée un nouveau thread qui transfère toutes les informations reçues sur la nouvelle connexion au tunnel websocket vers le bastion.
Ainsi, en activant cette configuration, les utilisateurs finaux peuvent communiquer directement avec la VM interne par le biais d’une connexion websocket, un processus complètement différent de celui d’un serveur de bastionnement traditionnel, qui ne communique que par le biais du protocole du service utilisé pour l’accès à distance (RDP ou SSH, dans ce cas).
En outre, le fait de pouvoir spécifier un port signifie que les services internes de la VM peuvent être analysés à l’aide d’Azure Bastion, et que les ports qui exposent des services vulnérables peuvent être accessibles et exploités par toute personne demandant une session de bastionnement pour une VM particulière.
Toutefois, pour pouvoir mener des attaques contre les VM Azure via Azure Bastion, l’utilisateur en question doit disposer d’un certain nombre d’autorisations et de conditions préalables :
Un rôle RBAC Azure en lecture doit être attribué à la VM.
Un rôle RBAC Azure en lecture doit être attribué à la carte réseau associée à l’adresse IP privée.
Un rôle RBAC Azure en lecture doit être attribué au service Azure Bastion.
Le réseau doit inclure des routes qui permettent au sous-réseau Azure Bastion de communiquer avec la VM, soit sur le même VNet, soit via un peering VNet.
Les recommandations pour prévenir ce type d’attaque comprennent la désactivation du support du client natif des services de bastionnement. Toutefois, si cela n’est pas possible, les mesures suivantes peuvent être prises pour atténuer le problème dans une certaine mesure :
Assurez-vous que le sous-réseau sur lequel Azure Bastion est déployé possède un groupe de sécurité réseau (NSG) associé, afin que la connectivité soit limitée aux ports 3389 et 22.
Limitez le nombre d’utilisateurs qui ont un accès RBAC en lecture à une ressource privilégiée, comme le groupe admin root.
Incluez une règle NSG sur le sous-réseau de base qui limite la connectivité à une adresse IP spécifique ou à de petites plages de sous-réseau.
