En janvier 2022, les experts de Kaspersky ont été témoins de plusieurs attaques sophistiquées visant des entreprises militaires et des organisations publiques. Ces attaques ont eu pour but principal d’accéder aux informations confidentielles de ces établissements et de prendre le contrôle de leurs systèmes informatiques. Le logiciel malveillant utilisé par les assaillants est similaire à celui déployé par TA428 APT, un groupe APT sinophone.

Les pirates infiltrent les réseaux d’une entreprise en envoyant des courriels de phishing soigneusement élaborés, dont certains contiennent des informations très spécifiques sur l’organisation visée, qui n’ont pas été rendues publiques au moment de l’envoi des courriels. Cela indique que les attaquants préparent leurs offensives délibérément et choisissent leurs cibles à l’avance. Ces courriels de phishing sont envoyés avec un document Microsoft Word qui contient un code malveillant, permettant aux détracteurs d’exploiter une vulnérabilité en exécutant un code arbitraire sans qu’aucun accord préalable ne soit nécessaire. Cette vulnérabilité existe dans des versions obsolètes de l’éditeur d’équations de Microsoft, une fonctionnalité de Microsoft Office.

Extrait du contenu d’un document malveillant

De plus, le groupe APT exploite simultanément plus de six backdoors différentes. Cela leur permet d’établir des canaux de communication supplémentaires avec les systèmes infectés, au cas où l’un des programmes malveillants soit détecté et supprimé par une solution de sécurité. Ces portes dérobées présentent de nombreuses fonctionnalités permettant de contrôler les systèmes infectés et de collecter des données confidentielles.

L’étape finale de l’attaque consiste à pirater le contrôleur de domaine pour être aux commandes de la totalité des postes de travail et des serveurs de l’organisation. Dans un des cas, ils ont même pris le dessus sur le centre de contrôle des solutions de cybersécurité. Après avoir obtenu le statut d’administrateur de domaine et l’accès à l’Active Directory, les assaillants lancent l’attaque Golden Ticket pour se faire passer pour des utilisateurs connus de l’organisation et rechercher des fichiers contenant les informations sensibles sur cette dernière. Ils exfiltrent ensuite ces données vers leurs propres serveurs, hébergés dans différents pays.

"Les attaques Golden Ticket utilisent le protocole d’authentification par défaut utilisé depuis la mise en service de Windows 2000 à leur avantage. En forgeant des TGT (Ticket Granting Tickets) Kerberos au sein du réseau de l’entreprise, les attaquants peuvent indépendamment accéder à n’importe quel service appartenant au réseau pour une durée illimitée. Par conséquent, changer les mots de passe et bloquer les comptes suspects ne suffit plus. Nous vous conseillons de surveiller de près toute activité inhabituelle et d’utiliser des solutions de sécurité fiables", commente Vyacheslav Kopeytsev, expert en sécurité à l’ICS CERT Kaspersky.

Pour protéger vos dispositifs ICS contre les différentes menaces, Kaspersky recommande de :

• Mettre régulièrement à jour les systèmes d’exploitation et les applications qui font partie du réseau de l’entreprise. Appliquer les correctifs de sécurité et les patchs aux équipements informatiques et opérationnels dès qu’ils sont disponibles.
• Réaliser des audits de sécurité réguliers des systèmes informatiques et OT afin d’identifier les vulnérabilités éventuelles et de les éliminer.
• Utiliser des solutions de surveillance, d’analyse et de détection du trafic sur le réseau ICS pour mieux se protéger des attaques qui menacent potentiellement les processus technologiques et les principaux équipements de l’entreprise.
• Fournir une formation dédiée à la sécurité numérique aux équipes de sécurité informatique et aux ingénieurs OT. Ceci est crucial pour améliorer la réponse aux nouvelles techniques avancées des agents malveillants.
• Fournir à l’équipe de sécurité chargée de protéger les ICS des renseignements actualisés sur les menaces. Le service ICS Threat Intelligence Reporting fournit des informations sur les menaces et les vecteurs d’attaque actuels, ainsi que sur les éléments les plus vulnérables des ICS et sur la manière de les minimiser.
• Utiliser des solutions de sécurité pour les terminaux et les réseaux OT, telles que Kaspersky Industrial CyberSecurity, afin de garantir une protection complète de tous les systèmes critiques.
• Protégez également votre infrastructure informatique. La solution Integrated Endpoint Security protège les terminaux de l’entreprise et permet l’automatisation de la détection et des réponses aux menaces.