Un pirate IBM décompose les attaques de grande envergure

Un pirate IBM décompose les attaques de grande envergure
Un pirate IBM décompose les attaques de grande envergure

Le 19 septembre 2022, un cyberattaquant de 18 ans connu sous le nom de « teapotuberhacker » (alias TeaPot) aurait violé les messages Slack du développeur de jeux Rockstar Games. Grâce à cet accès, ils ont volé plus de 90 vidéos du prochain jeu Grand Theft Auto VI. Ils ont ensuite publié ces vidéos sur le site Web de fans GTAForums.com. Les joueurs ont eu un aperçu non autorisé des séquences de jeu, des personnages, des points de l’intrigue et d’autres détails critiques. C’était le pire cauchemar d’un développeur de jeux.

En outre, l’acteur malveillant a revendiqué la responsabilité d’une faille de sécurité similaire affectant la société de covoiturage Uber une semaine auparavant. Selon certaines informations, ils ont infiltré le Slack de l’entreprise en incitant un employé à leur accorder l’accès. Ensuite, ils ont envoyé des spams aux employés avec des notifications push d’authentification multi-facteurs (MFA) jusqu’à ce qu’ils aient accès aux systèmes internes, où ils pouvaient parcourir le code Source.

Des incidents comme les piratages de Rockstar et Uber devraient servir d’avertissement à tous les RSSI. Une sécurité adéquate doit tenir compte du rôle que les acteurs et les publics avides d’informations peuvent jouer lorsqu’ils traitent des informations sensibles et de la propriété intellectuelle.

Stephanie Carruthers, Chief People Hacker pour l’équipe X‑Force Red chez IBM Security, a expliqué comment l’incident chez Uber s’est produit et ce qui aide à prévenir ces types d’attaques.

“Mais nous avons MFA”

Premièrement, Carruthers pense qu’un scénario potentiel et même probable est que la personne visée par Uber pourrait avoir été un entrepreneur. Le pirate a probablement acheté des informations d’identification volées appartenant à cet entrepreneur sur le dark web, comme première étape de sa campagne d’ingénierie sociale. L’attaquant a probablement ensuite utilisé ces informations d’identification pour se connecter à l’un des systèmes d’Uber. Cependant, Uber avait mis en place une authentification multifacteur (MFA) et l’attaquant a été invité à valider son identité plusieurs fois.

Selon les rapports, “TeaPot” a contacté directement la victime ciblée par un appel téléphonique, s’est fait passer pour l’informatique et lui a demandé d’approuver les demandes MFA. Une fois qu’ils l’ont fait, l’attaquant s’est connecté et a pu accéder à différents systèmes, y compris Slack et d’autres zones sensibles.

“La leçon clé ici est que ce n’est pas parce que vous avez mis en place des mesures telles que MFA que vous êtes en sécurité ou que les attaques ne peuvent pas vous arriver”, a déclaré Carruthers. « Pendant très longtemps, beaucoup d’organisations disaient : ‘Oh, nous avons l’AMF, donc nous ne sommes pas inquiets.’ Ce n’est pas un bon état d’esprit, comme l’a démontré ce cas précis.

Dans le cadre de son rôle chez X-Force, Carruthers effectue des évaluations d’ingénierie sociale pour les organisations. Elle pratique des techniques de contournement MFA pour des clients depuis plusieurs années. “Cette mentalité d’avoir un faux sentiment de sécurité est l’une des choses que je pense que les organisations ne saisissent toujours pas parce qu’elles pensent qu’elles ont les outils en place pour que cela ne puisse pas leur arriver.”

Les tests d’ingénierie sociale peuvent aider à prévenir ces types d’attaques

Selon Carruthers, les tests d’ingénierie sociale se répartissent en deux catégories : à distance et sur site. Elle et son équipe examinent le phishing, le phishing vocal et le smishing pour des tests à distance. La pièce sur place implique que l’équipe X-Force se présente en personne et s’introduit essentiellement par effraction dans le réseau d’un client. Au cours des tests, les équipes X-Force tentent de contraindre les employés à leur donner des informations qui leur permettraient de violer les systèmes – et notent ceux qui tentent de les arrêter et ceux qui ne le font pas.

Le test à distance de l’équipe se concentre sur une méthode de plus en plus populaire : superposer les méthodes ensemble presque comme une chaîne d’attaque. Au lieu de mener uniquement une campagne de phishing, cela ajoute une autre étape au mélange.

“Ce que nous allons faire, tout comme vous l’avez vu dans cette attaque d’Uber, c’est suivre le phishing avec des appels téléphoniques”, a déclaré Carruthers. “Les cibles nous diront que le phishing semblait suspect, mais nous remercieront ensuite d’avoir appelé car nous avons une voix amicale. Et ils se conformeront réellement à ce que cet e-mail de phishing a demandé. Mais il est intéressant de voir des attaquants commencer à appliquer des approches d’ingénierie sociale plutôt que d’espérer que l’un de leurs e-mails de phishing fonctionne. »

Elle a expliqué que les chances de succès de l’équipe sont multipliées par trois lors du suivi d’un appel téléphonique. Selon l’indice X-Force Threat Intelligence 2022 d’IBM, le taux de clics pour la campagne de phishing ciblée moyenne était de 17,8 %. Les campagnes de phishing ciblées qui ajoutaient des appels téléphoniques (vishing ou phishing vocal) étaient trois fois plus efficaces, rapportant un clic à 53,2 % des victimes.

Qu’est-ce que l’OSINT – et comment il aide les attaquants à réussir

Pour les mauvais acteurs, plus ils ont d’intelligence sur leur cible, mieux c’est. Les attaquants recueillent généralement des renseignements en récupérant des données facilement disponibles auprès de sources publiques, appelées renseignements open Source (OSINT). Grâce aux médias sociaux et aux activités en ligne documentées publiquement, les attaquants peuvent facilement profiler une organisation ou un employé.

Carruthers dit qu’elle passe plus de temps aujourd’hui à faire OSINT que jamais auparavant. “Il est très important d’obtenir activement des informations sur une entreprise, car cela nous donne tous les éléments nécessaires pour créer cette campagne qui sera réaliste par rapport à nos objectifs”, a-t-elle déclaré. “Nous recherchons souvent des personnes qui ont accès à des informations plus sensibles, et je ne serais pas surpris si cette personne (dans le hack Uber) était choisie en raison de l’accès dont elle disposait.”

Pour Carruthers, il est essentiel de comprendre les informations disponibles sur les employés et les organisations. “Cette empreinte numérique pourrait être exploitée contre eux”, a-t-elle déclaré. « Je ne peux pas vous dire combien de fois les clients nous ont dit qu’ils ne pouvaient pas croire que nous avions trouvé toutes ces choses. Une petite information qui semble anodine pourrait être la cerise sur le gâteau de notre campagne qui la rend beaucoup plus réaliste.

Stratégies concrètes de prévention du piratage

Bien que l’authentification multifacteur puisse être contournée, il s’agit toujours d’un outil de sécurité essentiel. Cependant, Carruthers suggère que les organisations envisagent de déployer un appareil physique comme un jeton Fido2. Cette option ne devrait pas être trop difficile à gérer pour les petites et moyennes entreprises.

“Ensuite, je recommande d’utiliser des gestionnaires de mots de passe avec des mots de passe principaux longs et complexes afin qu’ils ne puissent pas être devinés ou piratés ou quelque chose comme ça”, a-t-elle déclaré. “Ce sont quelques-unes des meilleures pratiques pour des applications comme Slack.”

Bien sûr, aucune stratégie de prévention du piratage qui traite de l’ingénierie sociale ne serait complète sans une sensibilisation à la sécurité. Carruthers conseille aux organisations d’être conscientes des attaques dans la nature et d’être prêtes à y faire face. “Les entreprises doivent réellement passer en revue et revoir ce qui est inclus dans leur formation actuelle, et si cela répond aux attaques réalistes qui se produisent aujourd’hui contre leur organisation”, a-t-elle déclaré.

Par exemple, la formation peut apprendre aux employés à ne pas donner leurs mots de passe à qui que ce soit par téléphone. Mais lorsqu’un attaquant appelle, il se peut qu’il ne vous demande pas votre mot de passe. Au lieu de cela, ils peuvent vous demander de vous connecter à un site Web qu’ils contrôlent. Les organisations voudront s’assurer que leur formation est toujours fraîche et interactive et que les employés restent engagés.

Le dernier conseil de Carruthers est que les entreprises s’abstiennent de trop compter sur les outils de sécurité. “C’est si facile de dire que vous pouvez acheter un certain outil de sécurité et que vous n’aurez plus jamais à vous soucier d’être victime d’hameçonnage”, a-t-elle déclaré.

Les principaux plats à emporter ici sont:

  • Incorporez des périphériques physiques dans MFA. Cela crée un barrage routier important pour les attaquants.
  • Essayez de minimiser votre empreinte numérique. Évitez le partage excessif dans les forums publics comme les médias sociaux.
  • Utilisez des gestionnaires de mots de passe. De cette façon, les employés n’ont besoin de retenir qu’un seul mot de passe.
  • Renforcer les programmes de sensibilisation à la sécurité en mettant particulièrement l’accent sur les menaces d’ingénierie sociale. Bien trop souvent, la sensibilisation à la sécurité passe à côté de cet élément clé.
  • Ne comptez pas trop sur les outils de sécurité. Ils ne peuvent que prendre votre posture de sécurité jusqu’à présent.

Enfin, il est important de réitérer ce que Carruthers et l’équipe X-Force continuent de prouver avec leurs tests d’ingénierie sociale : un faux sentiment de sécurité est contre-productif pour prévenir les attaques. Une stratégie plus efficace combine des pratiques de sécurité de qualité avec la sensibilisation, l’adaptabilité et la vigilance.

En savoir plus sur les services de test de pénétration X-Force Red ici. Pour planifier une consultation gratuite avec X-Force, cliquez ici.

Mark Stone est un rédacteur en marketing de contenu certifié Hubspot spécialisé dans la technologie, les affaires et le divertissement. Il est un collaborateur régulier de Forbes Bra…

Continuer la lecture

The article is in English

Tags: pirate IBM décompose les attaques grande envergure

.

NEXT Le succès interne de Hi-Fi Rush a entraîné sa chute d’ombre, déclare le directeur