fbpx
ActualitéHigh TechSécurité

La France dit que des pirates pourraient s’en prendre aux chaînes d’approvisionnement après le cyber-assaut d’Airbus

La France a publié un nouvel avis sur les cybermenaces sur les opérations d’espionnage ciblées destinées à des prestataires de services tiers et à des sociétés d’ingénierie.

Les conclusions – publiées par l’agence nationale de sécurité des systèmes d’information (ANSSI) – sont basées sur son enquête sur deux types d’attaques différentes, l’une impliquant l’utilisation de programmes malveillants PlugX et l’autre reposant sur des attaques légitimes. outils (CertMig, ProcDump, Netscan) et le vol de données d’identification.

L’ANSSI a déclaré que la campagne remontait à 2017. « L’objectif principal de ces activités semble être la collecte d’informations d’identification, grâce aux courriels de phishing et aux sites Web de phishing », a-t-il ajouté.

L’acteur de la menace – possiblement lié au groupe de piratage nord-coréen Kimsuky – a ciblé un grand nombre d’entités, y compris des organes diplomatiques appartenant à des pays membres du Conseil de sécurité des Nations Unies tels que la Chine, la France, la Belgique, le Pérou et l’Afrique du Sud.

PlugX est un outil d’accès à distance / RAT (Remote Access Tool) complet avec des fonctionnalités telles que le téléchargement, la modification et le chargement de fichiers, la journalisation des frappes au clavier, le contrôle de la webcam, tout en évitant les contrôles de sécurité et la détection.

Le malware est devenu un outil de choix pour les acteurs commandités par l’État chinois ces dernières années, l’Unité 42 de renseignements sur les menaces de Palo Alto Networks reliant les cyberattaques d’Asie du Sud-Est à un groupe qu’elle appelle PKPLUG la semaine dernière.

Selon ANSSI, les attaquants obtiennent un accès initial aux réseaux cibles en exploitant des vulnérabilités de sécurité sur les terminaux, ou en utilisant des courriels de phishing ou des informations d’identification perdues. Une fois dedans, ils se sont avérés obtenir des privilèges élevés sur les systèmes internes pour installer des logiciels malveillants et se répandaient latéralement sur le réseau pour atteindre leurs objectifs opérationnels.

En plus d’utiliser des VPN pour anonymiser leurs connexions entrantes, ils ont également enregistré leurs outils dans des dossiers portant le nom d’un logiciel antivirus populaire, tel que ESET et McAfee, afin d’éviter la détection.

En conséquence, l’agence de cybersécurité a exhorté les fournisseurs de services et les clients à mettre en place une authentification à deux facteurs, à surveiller les connexions malveillantes sur leur réseau et à accorder aux entités externes le moins d’accès pour contrecarrer l’escalade des privilèges.

L’alerte ANSSI intervient alors que les attaques de la chaîne logistique – mettant en cause un tiers disposant d’une connexion avec la véritable cible – deviennent un moyen de plus en plus courant de cibler les entreprises et d’installer des logiciels malveillants. Le mois dernier, le géant européen de l’aérospatiale Airbus a été victime d’une série de cyber-attaques visant ses fournisseurs, éventuellement par des acteurs liés à la Chine, à la recherche de secrets commerciaux.

Tirer parti d’un fournisseur de services en tant que vecteur d’attaque augmente également considérablement l’ampleur d’un incident de sécurité, puisqu’un effraction réussie ouvre l’accès à plusieurs clients, les rendant tous vulnérables à la fois.

Que ce soit en renforçant la sécurité des comptes, en isolant l’infrastructure réseau critique ou en assurant des sauvegardes de données en temps voulu, des contrôles bien adaptés mis en place dans l’ensemble de l’entreprise permettent d’assurer la préparation tactique et stratégique à une attaque malveillante destructrice.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page