Attaques hybrides : quand la cybermenace dépasse le périmètre de votre réseau

Les attaques hybrides continuent de se multiplier et de perturber les organisations, comme celle lancée il y a quelques mois par Mango Sandstorm et DEV-1084. Mais il existe des moyens de les arrêter.

Il faut se rendre à l'évidence : les stratégies de défense déployées face aux cyber-attaques ne fonctionnent généralement pas. Basées sur des signatures, des anomalies et des règles conçues pour détecter et éviter les agressions cybercriminelles, elles n'empêchent pas que 7 analystes sur 10 dans le monde admettent aujourd'hui que leur organisation a été compromise. Faut-il rendre ces analystes responsables de cet état de fait et, à travers eux, blâmer les organisations auxquelles ils sont rattachés ? Certainement pas. Si nous en sommes là aujourd'hui, c'est tout simplement parce que les surfaces d'attaque s'étendent beaucoup plus vite que la rapidité de réponse apportée par les analystes et la technologie dont ils disposent.

Toutes les entreprises sont devenues hybrides... et les attaques aussi !

Il faut prendre la mesure du changement qui s'est opéré dans notre monde. Toutes les entreprises ont évolué vers des environnements hybrides et multi-cloud. Pour les cybercriminels, le cadeau est trop beau : c'est une nouvelle opportunité qu'ils exploitent, en déployant des méthodes qui leur permettent d'échapper aux lignes Maginot érigées par les organisations. Ainsi, une proportion croissante des attaques modernes sont hybrides. L'année dernière, le pourcentage de violations basées sur le cloud était estimé à près de 50%. La principale caractéristique d'une attaque hybride est qu'elle peut être déclenchée à n'importe quel point de l'infrastructure, en exploitant des vulnérabilités ou des accès compromis sur diverses plateformes ou en tirant parti de ressources cloud évolutives pour renforcer son impact.

Le cas de l'attaque Mango Sandstorm et DEV-1084

C'est le cas de l'attaque hybride lancée par Mango Sandstorm et Storm-1084 qui a été observée l’année dernière. Mango Sandstorm est un acteur étatique qui entretient des liens étroits avec le gouvernement iranien. Allié au groupe Storm-1084, il a fait des attaques hybrides son modus operandi, visant à la fois le cloud et les services internes des organisations.

L'attaque déclenchée par Mango Sandstorm et Storm-1084 en 2023 s'est d'abord manifestée dans l'un des centres de données de l'organisation qui était ciblée. Les cybercriminels ont réussi à exploiter une vulnérabilité sur un serveur exposé sur Internet. Ils ont ensuite pris le contrôle à distance de ce serveur grâce à un C&C (infrastructure de commande et de contrôle) et ont effectué une découverte en s'appuyant sur les outils natifs de Microsoft. Ils ont alors entamé une série de déplacements latéraux (s’appuyant sur RPC, WMI, RDP...) via des comptes compromis. À l'aide d'informations d'identification volées, ils se sont connectés au serveur Azure AD Connect et ont pu accéder à un autre compte à très haut privilège. L'attaque a dès lors pu progresser au sein d'Entra ID et d'Azure. Des droits ont été ajoutés à une application existante, les autorisations des comptes ont été manipulées et une progression des privilèges a permis aux cybercriminels de devenir des « Global Admin », c'est-à-dire des administrateurs généraux du système, acquérant des droits sur les abonnements Azure.

Leçons pour l'avenir

Heureusement, l'attaque a été déjouée. Le grand groupe visé par Mango Sandstorm et Storm-1084 disposait d'un système de protection technologique qui, grâce à l'intelligence artificielle, était capable de détecter toute tentative d'attaque le plus en amont possible. Cette technologie de pointe a permis d’identifier des activités suspectes dans le réseau et l'environnement Entra ID et de visualiser les mouvements latéraux en un temps record. Dans ce cas précis, l'attaque s'est déroulée en plusieurs étapes sur plusieurs mois, ce qui l'a rendue difficile à détecter mais a donné plus de temps pour réagir.

Cette aventure, qui s'est bien terminée, est riche d'enseignements pour l'avenir. Deux points sont particulièrement à garder en tête. Tout d'abord, pour se défendre contre les attaques hybrides qui sont devenues la norme, il est nécessaire d'analyser le trafic réseau dans son intégralité, ainsi que le comportement des utilisateurs et les environnements cloud afin de détecter et de prioriser les cybermenaces dans l'environnement hybride. Dans le même temps, nous devons identifier les comportements suspects post-exploitation sans nous appuyer sur des signatures qui peuvent être facilement contournées. Tout cela doit être possible grâce à un signal clair et exploitable, offrant aux équipes de sécurité une vue unifiée de toutes les machines et comptes suspects.

Il est également important de comprendre que, dans le cas des attaques hybrides modernes, les identités sont essentielles. Elles sont le ciment entre les différents domaines d’une entreprise et sont ainsi également très précieuses pour les attaquants en leur permettant de se déplacer latéralement et progresser dans leurs campagnes. Il est essentiel de détecter les abus de privilèges : c'est une autre leçon à tirer de l'attaque Mango Sandstorm.