La société de cybersécurité Mandiant a trouvé des failles dans les attaques d’UNC3944 après l’avoir suivi depuis deux ans. Elle recommande ainsi aux entreprises d’utiliser deux types d’authentification pour un système VPN. Les certificats devront être basés sur l’hôte et sur une authentification multifactorielle. Des mesures ont également été prises pour sauvegarder les données sensibles.
UNC3944 est un célèbre groupe de cybercriminels que Mandiant suit depuis le mois de mai 2022. Il est connu sous différents noms comme aka Scattered Spider, Octo Tempest, Scatter Swine et 0ktapus. Ce cyber-gang a, entre autres, mené des attaques d’ingénierie sociale et de SIM swapping. Il est spécialement connu pour s’attaquer aux services clients au sein des entreprises de télécommunication et de l’externalisation des processus métier. Sa dernière attaque malveillante répertoriée concerne l’utilisation d’applications d’authentification unique destinées à produire des machines virtuelles (VM) compromises. L’objectif était d’atteindre les environnements Azure et vShpere. Mandiant a identifié les failles d’UNC3944 et les expose pour que les entreprises prennent les dispositions nécessaires.
Renfort de la politique d’accès
La cyber-sécurité est importante pour toutes les entreprises. Un accès non autorisé à la base de données pourrait nuire à différents départements. Ce seraient à la fois la gestion administrative et la sécurité de l’entreprise qui seraient mis en doute. Il est donc nécessaire de mettre en place une politique de cyber-sécurité efficace.
De nombreuses entreprises ont été lésées par les attaques du cyber-gang UNC3944. La filiale de Google Cloud pour la cyber-sécurité a recensé différentes tactiques et procédures des cybercriminels ces 10 derniers mois. C’étaient généralement les applications SaaS qui étaient visées. Cela concerne, par exemple, AWS, CyberArk, Salesforce, Workday, Azure, Crowdstrike, vCenter et GCP.
Pour détourner la politique d’accès des entreprises, UNC3944 utilise des authentifiants volés. Mandiant a d’ailleurs remarqué que les autorisations normales des fournisseurs SSO et les groupes admin étaient souvent ciblés. Il suggère ainsi de renforcer le contrôle d’accès aux plateformes numériques. Selon Mandiant :
La création de politiques d’accès conditionnel plus strictes pour contrôler ce qui est visible à l’intérieur d’une instance cloud peut limiter l’impact global.
La recommandation est d’utiliser à la l’authentification multifactorielle et des certificats basés sur l’hôte pour les accès VPN. Une meilleure surveillance des applications SaaS a également été évoquée. Les équipes devront aussi pouvoir mettre à jour les équipes de sécurité pour détecter les tentatives d’infiltration.
Vigilance sur les plateformes
La sécurisation d’une entreprise est une action globale et non isolée. Elle concerne tous les secteurs et ne doit pas seulement être assignée à un département en particulier. La politique de cyber-sécurité doit ainsi faire partie des préoccupations principales lors de la gestion administrative d’une société.
Différents applications SaaS sont spécialement concernées dont celles contenant des informations protégées. Selon toujours Mandiant, l’action suivante est nécessaire :
Une surveillance accrue des applications SaaS, afin de centraliser les journaux des applications SaaS importantes, les réenregistrements MFA et l’infrastructure des machines virtuelles, en particulier en ce qui concerne le temps de fonctionnement et la création de nouveaux systèmes
Il est assez courant que les cybercriminels infiltrent les bases de données pour détruire ou d’exfiltrer le contenu via des VM. Les données exfiltrées se retrouvent ensuite sur des plateformes à haute réputation comme Amazon Web Services et Google Cloud Platform. Les cybercriminels peuvent aussi migrer les données vers une plateforme qu’ils contrôlent comme des Buckets S3.
Le cyber-gang utilise divers outils comme Mimikatz, NGROK et IMPAKET pour détourner la sécurité au niveau des plateformes. Il réinitialise ensuite les mots de passe via un fichier ISO (PCUnlocker) relié à des machines virtuelles. Ce fichier nécessite cependant un redémarrage du système ainsi qu’une modification au niveau du BIOS. La détection d’une activité malveillante peut alors être possible à ce moment précis.
