Les attaques hybrides ne cessent de se multiplier et de perturber les organisations, comme celle lancée il y a quelques mois par Mango Sandstorm et DEV-1084. Mais il existe des moyens de les arrêter.
Il faut se rendre à l’évidence : les stratégies de défense déployées contre les cyberattaques ne fonctionnent généralement pas. S’appuyant sur des signatures, des anomalies et des règles destinées à détecter et prévenir les attaques cybercriminelles, ils n’empêchent pas aujourd’hui 7 analystes sur 10 dans le monde d’admettre que leur organisation a été compromise. Faut-il rendre ces analystes responsables de cet état de fait et, à travers eux, rejeter la faute sur les organisations auxquelles ils sont rattachés ? Certainement pas. Si nous en sommes là aujourd’hui, c’est tout simplement parce que les surfaces d’attaque s’étendent bien plus vite que la rapidité de réponse apportée par les analystes et la technologie dont ils disposent.
Toutes les entreprises sont devenues hybrides… et les attaques aussi !
Nous devons faire le point sur les changements survenus dans notre monde. Toutes les entreprises ont évolué vers des environnements hybrides et multi-cloud. Pour les cybercriminels, le cadeau est trop beau : c’est une nouvelle opportunité qu’ils exploitent, en déployant des méthodes qui leur permettent d’échapper aux lignes Maginot érigées par les organisations. Ainsi, une proportion croissante d’attaques modernes sont hybrides. L’année dernière, le pourcentage de violations basées sur le cloud était estimé à près de 50 %. La principale caractéristique d’une attaque hybride est qu’elle peut être déclenchée à tout moment de l’infrastructure, en exploitant des vulnérabilités ou un accès compromis sur diverses plates-formes ou en exploitant des ressources cloud évolutives pour accroître son impact.
Le cas de l’attaque Mango Sandstorm et DEV-1084
C’est le cas de l’attaque hybride lancée par Mango Sandstorm et Storm-1084 observée l’année dernière. Mango Sandstorm est un acteur étatique ayant des liens étroits avec le gouvernement iranien. Allié au groupe Storm-1084, il a fait des attaques hybrides son mode opératoire, ciblant aussi bien le cloud que les services internes des organisations.
L’attaque déclenchée par Mango Sandstorm et Storm-1084 en 2023 s’est manifestée pour la première fois dans l’un des centres de données de l’organisation ciblée. Les cybercriminels ont réussi à exploiter une vulnérabilité sur un serveur exposé sur Internet. Ils ont ensuite pris le contrôle à distance de ce serveur à l’aide d’un C&C (infrastructure de commande et de contrôle) et ont effectué une découverte à l’aide des outils natifs de Microsoft. Ils ont ensuite entamé une série de mouvements latéraux (en s’appuyant sur RPC, WMI, RDP, etc.) via des comptes compromis. À l’aide d’informations d’identification volées, ils se sont connectés au serveur Azure AD Connect et ont pu accéder à un autre compte hautement privilégié. L’attaque a ensuite pu progresser au sein d’Entra ID et d’Azure. Des droits ont été ajoutés à une application existante, les permissions des comptes ont été manipulées et une progression de privilèges a permis aux cybercriminels de devenir des « Global Admin », c’est-à-dire des administrateurs généraux du système, acquérant des droits sur les abonnements Azure.
Des leçons pour l’avenir
Heureusement, l’attaque a été déjouée. Le grand groupe visé par Mango Sandstorm et Storm-1084 disposait d’un système de protection technologique qui, grâce à l’intelligence artificielle, était capable de détecter au plus tôt toute tentative d’attaque. Cette technologie de pointe a permis d’identifier les activités suspectes dans le réseau et l’environnement Entra ID et de visualiser les mouvements latéraux en un temps record. Dans ce cas, l’attaque s’est déroulée en plusieurs étapes sur plusieurs mois, ce qui la rend difficile à détecter mais laisse plus de temps pour réagir.
Cette aventure qui s’est bien terminée est riche d’enseignements pour la suite. Deux points en particulier doivent être gardés à l’esprit. Premièrement, pour se défendre contre les attaques hybrides qui sont devenues la norme, il est nécessaire d’analyser l’ensemble du trafic réseau, le comportement des utilisateurs et les environnements cloud afin de détecter et de prioriser les cybermenaces dans l’environnement hybride. Dans le même temps, nous devons identifier les comportements post-exploitation suspects sans nous fier à des signatures qui peuvent être facilement contournées. Tout cela devrait être possible grâce à un signal clair et exploitable, donnant aux équipes de sécurité une vue unifiée de toutes les machines et comptes suspects.
Il est également important de comprendre que dans les attaques hybrides modernes, les identités sont essentielles. Ils constituent le ciment entre les différents domaines d’une entreprise et sont donc également très précieux pour les attaquants en leur permettant de se déplacer latéralement et de progresser dans leurs campagnes. Détecter les abus de privilèges est essentiel : c’est une autre leçon tirée de l’attaque Mango Sandstorm.
