Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les SophosLabs publient un rapport sur Cloud Snooper

février 2020 par Sophos

Sophos publie un rapport des SophosLabs sur Cloud Snooper, une attaque sophistiquée qui utilise une combinaison unique de techniques pour permettre aux logiciels malveillants présents sur les serveurs de communiquer librement avec ses serveurs de commande et de contrôle à travers des pare-feux. Le rapport présente les tactiques, techniques et procédures (TTP) utilisées dans l’attaque. Les SophosLabs estiment que l’attaque était l’œuvre d’un État-nation motivé par l’espionnage.

Comme l’explique le rapport, les TTP utilisées ensemble comprennent : un rootkit contournant les pare-feux, une technique rare pour accéder à des serveurs déguisés en trafic normal, et une porte dérobée qui partage le code malveillant entre les systèmes d’exploitation Windows et Linux, une approche connue mais peu commune. Bien que chaque élément individuel ait déjà été observé lors d’attaques menées par des adversaires hautement qualifiés, ils n’ont jamais été vus auparavant en combinaison. Sophos s’attend à ce que ce paquet de TTP descende jusqu’aux échelons inférieurs de la hiérarchie cybercriminelle et soit utilisé comme modèle pour les nouvelles attaques de pare-feu.

"C’est la première fois que nous voyons une formule d’attaque qui combine une technique de contournement avec une charge utile multi-plateforme ciblant à la fois les systèmes Windows et Linux. Les équipes de sécurité informatique et les administrateurs de réseau doivent faire preuve de diligence pour appliquer des correctifs à tous les services externes afin d’empêcher les attaquants de se soustraire aux politiques de sécurité du cloud et des pare-feux", a déclaré Sergei Shevchenko, responsable de la recherche sur les menaces aux SophosLabs. "Les équipes de sécurité informatique doivent également se protéger contre les attaques multi-plateformes. Jusqu’à présent, les ressources basées sur Windows ont été la cible typique, mais les attaquants s’intéressent de plus en plus aux systèmes Linux car les services dans le cloud sont devenus des terrains de chasse populaires. C’est une question de temps avant que d’autres cybercriminels n’adoptent ces techniques".

Conseils aux défenseurs :
- Dresser un inventaire complet de tous les appareils connectés au réseau et mettre à jour tous les logiciels de sécurité utilisés sur ces appareils
- Veiller à ce que tous les services connectés à Internet soient entièrement patchés. Les services hébergés dans le Cloud offrent souvent une sécurité au travers de pare-feux, mais cela ne doit pas se substituer aux mesures de sécurité propres à une organisation
- Vérifier et revérifier toutes les configurations Cloud. Le rapport Sophos 2020 sur les menaces révèle que les mauvaises configurations appliquées par les utilisateurs et le manque de visibilité sont les principales causes d’attaques dans le Cloud
- Activer l’authentification multi facteur sur tous les tableaux de bord ou panneaux de contrôle de sécurité utilisés en interne pour empêcher les attaquants de désactiver les produits de sécurité lors d’une attaque
- N’oubliez pas qu’il n’y a pas de solution miracle pour la sécurité, et qu’un modèle de sécurité de nouvelle génération à plusieurs niveaux - comprenant des composants conçus spécifiquement pour protéger les données et les réseaux dans le Cloud, comme Sophos Cloud Optix avec Sophos Intercept X for Server – fait partie des bonnes pratiques.




Voir les articles précédents

    

Voir les articles suivants