La tactique de l’escroc qui approche sa victime pour la mystifier est vieille comme le monde. Dans le numérique, et pour contourner des contre-mesures de plus en plus sensibles et intelligentes, les cybercriminels devraient y recourir plus souvent. Les frontières entre le monde physique et le cyberespace sont de plus en plus floues, comme en témoignent les efforts étatiques pour aligner la sécurité des biens et des personnes et celles du numérique. Il faut dire que l’environnement cyber et géopolitique est favorable aux attaquants qui peuvent mettre en œuvre des synergies entre le monde réel et le cyberespace. Pour ceux qui pensent que la personnalisation consiste à cibler les utilisateurs par le biais de plateformes telles que WhatsApp et LinkedIn, ainsi qu’en utilisant l’hameçonnage par SMS et par la voix (vishing), se trompent. Les nouveaux canaux d’ingénierie sociale non traditionnels ciblent physiquement les utilisateurs et les entreprises. Le rapport annuel M-Trends de Mandiant fournit des informations illustrant l’évolution de la menace et celle de la réponse des entreprises, qui s’améliore au fil des ans et des efforts pour atténuer le risque, pour mettre en place des canaux d’alerte et sensibiliser les collaborateurs. Les chiffres présentés dans M-Trends 2023 sont basés sur les enquêtes menées par Mandiant Consulting sur les activités d’attaques ciblées menées entre le 1er janvier 2022 et le 31 décembre 2022.
Augmentation des alertes externes
Première bonne nouvelle, les circuits d’alerte et les efforts de communication avec les clients et les partenaires en cas de compromission ont progressé. Sous l’effet conjugué des efforts des éditeurs, des entreprises clientes et des organisations professionnelles et étatiques, la structuration des canaux d’alerte, ainsi que la sensibilisation croissante, ont porté leurs fruits. En 2022, Mandiant a observé une augmentation générale du nombre d’organisations qui ont été alertées d’une compromission par une entité externe. Il atteint un taux de 63 % des incidents durant lesquels les organisations ciblées ont été informées des violations par des entités externes. L’étude confirme la tendance observée en 2021 et rapproche les taux de détection globaux de ce que les défenseurs ont connu en 2014. Bien qu’il ne s’appuie que sur les données traitées par ses solutions, Mandiant impute cette augmentation à la capacité des applications à envoyer des notifications externes proactives.
La durée médiane avant détection diminue
De plus, les attaques sont détectées plus rapidement, avec une durée médiane mondiale de 16 jours en 2022, contre 21 jours dans le rapport de l’année précédente. Les intrusions impliquant des rançongiciels affichent une durée médiane de 9 jours en 2022. Le rapport aborde également des sujets tels que le changement d’orientation et les techniques peu courantes, ainsi qu’une étude de cas de l’équipe rouge. Des informations contenues dans le rapport ont été anonymisées pour protéger l’identité des victimes et leurs données. Le temps passant et les contre-mesures et la formation produisant leurs effets, les cybercriminels seront de plus en plus tentés d’utiliser des tactiques mixtes pour arriver plus rapidement à leurs fins. Ils seront également de plus en plus audacieux et beaucoup plus agressifs et personnels pour atteindre leurs objectifs. Ils font preuve d’intimidation et de menace, et n’hésitent pas à investir du temps et des efforts pour personnaliser leurs attaques en visant des employés.
« De nos jours, il ne suffit pas de protéger les systèmes, il faut aussi protéger les employés », affirme Mandiant.
Scénario de compromission par une Red Team
Parmi les études de cas qui donnent un aperçu des tactiques utilisées par les acteurs de la menace, l’une d’elles porte sur une ruse d’une équipe rouge, qui a utilisé une tactique intrépide pour démontrer la pertinence d’une stratégie mêlant le physique et le numérique pour accéder au réseau d’une organisation cible. Le scénario décrit dans l’étude est celui d’une grande entreprise de services publics préoccupée par la compromission des bureaux du site, permettant aux attaquants d’accéder aux ressources du cloud et de l’environnement technologique opérationnel. L’entreprise a demandé à Mandiant de l’aider à évaluer ce risque en tentant d’obtenir un accès d’administrateur global dans Azure et en testant l’efficacité de ses contrôles autour du cycle de vie du développement logiciel (SDLC). Pour atteindre son objectif, l’équipe rouge a ciblé les succursales avec une campagne de vishing. À l’aide d’un service cloud, elle a créé un centre d’appel personnalisé dont le numéro de téléphone est similaire à celui du service d’assistance informatique du client. Ainsi, grâce à la similarité des numéros, les appels entrants provenant de ce numéro semblaient familiers. L’équipe rouge est ainsi parvenue à prendre rendez-vous avec un
« technicien » qui devait se rendre sur place et installer un nouveau logiciel. Le « logiciel » était un « code malveillant personnalisé » créé par Mandiant pour permettre l’accès à distance au réseau tout en échappant à la détection par les contrôles défensifs.
Un centre d’appels factice
Grâce à la configuration personnalisée du centre d’appels, les appels entrants étaient acheminés vers un groupe de membres de la Red Team et semblaient être traités par des agents différents, ce qui créait une représentation convaincante pour les cibles qui rappelaient pour confirmer ou poser d’autres questions. Une fois qu’une succursale a confirmé le rendez-vous, l’équipe rouge a chargé un consultant de la région de se rendre au bureau la même semaine. Celui-ci est arrivé sur le site en portant un badge fabriqué à partir d’images de badges d’employés que l’équipe rouge avait recueillies dans le cadre de la collecte de renseignements de sources ouvertes (OSINT). Confiant, le personnel du client au bureau régional a donné à l’opérateur de l’équipe rouge un accès non supervisé à chaque poste de travail. L’opérateur a utilisé cet accès pour installer le logiciel malveillant de commande et de contrôle (C2) personnalisé de Mandiant sur chaque machine, en veillant à ce que le logiciel malveillant redémarre si l’appareil redémarre en effectuant une attaque de type « COM Hijacking » (détournement de COM). Cette technique de persistance consiste à modifier le registre Windows afin d’inciter les applications qui exploitent le modèle COM (Component Object Model) de Microsoft à charger un code malveillant au lieu de binaires légitimes.
Vol d’identifiants pour passer les contrôles
À partir de là, le Red Team a eu accès au réseau interne de l’entreprise, il ne manquait plus que le vol d’identifiants pour passer les contrôles. Là aussi, la présence physique dans les locaux permet des intrusions autrement impossibles. Le « consultant » a simplement interrogé le service Kerberos du contrôleur de domaine interne du client. Il a obtenu une liste de plusieurs milliers de noms d’utilisateur valides, qui seront ensuite utilisés dans l’attaque par password-spraying ciblant l’infrastructure cloud Azure du client. Il avait désormais accès à près d’une douzaine de points d’extrémité sur le site de la succursale, ainsi qu’un accès à Azure. 0 partir de là les mouvements latéraux et la compromission d’autres services a pu se faire.
« Au cœur de toute capacité de cyberdéfense se trouve l’intelligence qui l’alimente, et les meilleurs renseignements sur les menaces sont glanés directement en première ligne », explique Mandiant, qui s’engage à continuer à partager ses connaissances de première ligne dans M-Trends afin d’améliorer la sensibilisation, la compréhension des scénarios d’attaque et les capacités collectives en matière de sécurité. En effet, les attaquants n’abandonneront pas, bien au contraire, avec l’IA et l’écosystème d’outils et de personnel à leur disposition, conjuguées aux approches physiques, ils ont besoin de moins compétences pour être plus efficaces.
