Début avril, nous avons discuté de
l'attaque de ShadowHammer
contre les ordinateurs portables Asus comme exemple de campagne de malware utilisant une chaîne d'approvisionnement. Les attaques contre la chaîne d'approvisionnement présentent un intérêt particulier pour les chercheurs et un danger particulier pour les entreprises précisément parce qu'elles compromettent les canaux de communication fiables. L'achat d'un ordinateur déjà infecté d'une certaine manière, le piratage d'un sous-traitant ayant accès aux ressources de l'entreprise du client, la distribution d'une version infectée du logiciel à partir du site d'un développeur officiel sont des exemples typiques d'une attaque contre une chaîne de fournisseurs.
Le problème peut être encore plus grave lorsque la victime est une entreprise qui vous fournit des services d'infrastructure informatique à distance ou fournit des services pour le développement de logiciels et la mise en œuvre de systèmes informatiques. L'externalisation de ces tâches à des tiers est une pratique courante. La semaine dernière, on a appris l'attaque de la société indienne Wipro, un important fournisseur de services informatiques. D'abord, le journaliste indépendant Brian Krebs a écrit sur le compromis du réseau d'entreprise Wipro, puis l'information a été confirmée dans l'entreprise elle-même (
nouvelles ,
article de Brian).
Wipro est un très grand fournisseur de services informatiques avec un chiffre d'affaires de 8 milliards de dollars par an et des dizaines de milliers de clients à travers le monde, y compris des entreprises et des agences gouvernementales de bonne réputation. Le nombre d'employés dépasse 170 mille. Exemples de projets mentionnés dans les médias: mise en place d'un système ERP, mise à jour de l'infrastructure de traitement des polices d'assurance médicale, mise en place de systèmes de support client. Les projets complexes de ce niveau nécessitent un large accès des représentants de l'entreprise au réseau d'entreprise de clients.
Ce qui s'est passé de manière fiable dans l'entreprise en mars 2019 est inconnu: le journaliste Brian Krebs est basé sur des sources anonymes du côté des clients Wipro, et l'entreprise elle-même ne divulgue pas de détails dans ses déclarations. À l'exception d'un: le phishing est devenu la méthode initiale de pénétration du réseau d'entreprise de l'entreprise. Les agresseurs auraient réussi à accéder à l'ordinateur d'un des employés de l'entreprise, qui a ensuite été utilisé pour attaquer d'autres employés. Le logiciel ScreenConnect légitime a été utilisé pour le contrôle à distance des terminaux - selon une source qui a participé à l'enquête, il a été trouvé sur des centaines d'ordinateurs qui avaient accès à la fois au réseau interne Wipro et à l'infrastructure des clients de l'entreprise. L'utilitaire Mimikatz, un programme gratuit pour extraire les mots de passe sur les ordinateurs exécutant Windows, a également été utilisé.
Mais c'est selon des sources "anonymes". Officiellement, dans un
commentaire du India Times, les représentants de Wipro n'ont reconnu que le succès de l'attaque de phishing et annoncé qu'ils avaient engagé des experts indépendants pour mener l'enquête. Plus tard, lors de négociations avec les investisseurs (selon Krebs), un représentant de l'entreprise a décrit l'incident comme une «attaque du jour zéro».
Des sources de Krebs suggèrent qu'il n'y avait rien de compliqué dans cette attaque. Rapidement (en plusieurs semaines), il a été suivi en raison du fait que les attaquants ont commencé à utiliser l'accès nouvellement obtenu à l'infrastructure de l'entreprise pour frauder les cartes-cadeaux des chaînes de magasins. Les personnes qui ont de sérieuses intentions et qui n'échangent pas contre de telles bagatelles pourraient rester longtemps non détectées.
Au moins dans un domaine public, la réaction de Wipro à l'incident n'a pas été, pour le moins, idéale: ils n'ont pas reconnu le problème pendant longtemps, ils n'ont pas fourni de détails sur l'attaque, ils ont fait des déclarations opposées (soit hameçonnage, soit ziro-dei). La transparence maximale possible dans la divulgation d'informations sur les cyberincidents devient non seulement la norme éthique pour les entreprises, mais devient progressivement une exigence législative dans de nombreux pays. D'une manière ou d'une autre, au moins un client de l'entreprise a choisi de bloquer l'accès à leurs propres systèmes informatiques à tous les employés de Wipro jusqu'à la fin de l'enquête. L'organisation indienne travaille elle-même à l'introduction d'un courrier électronique d'entreprise plus sécurisé.
Pour les attaques de la chaîne d'approvisionnement, une description détaillée de l'attaque et une évaluation sobre des dommages causés sont particulièrement importantes. Pas aux médias d'écrire à ce sujet - il est important que les clients de l'entreprise concernée comprennent ce qui s'est passé et quelles mesures doivent être prises pour se protéger. Une étude récente
montre que dans environ la moitié des cas, les attaquants tentent d'utiliser l'infrastructure piratée d'une entreprise pour attaquer d'autres organisations.
Pour se protéger contre de telles attaques, il convient de réévaluer le degré de confiance dans les sociétés de services tierces. Un exemple typique est l'incident avec les services de messagerie de Microsoft la semaine dernière (
nouvelles ). La société a envoyé de manière proactive des recommandations pour modifier le mot de passe de certains utilisateurs des services de messagerie Outloook, Hotmail et MSN. Il s'est avéré que les attaquants ont piraté le compte de l'une des contreparties qui fournissent des services d'assistance technique aux utilisateurs. Ces contreparties n'ont pas accès aux mots de passe des boîtes aux lettres, mais elles peuvent afficher une partie du contenu - rubriques des messages, adresses des répondants, listes des dossiers de messagerie. Dans certains cas, selon le site Web de la carte mère, les attaquants pourraient avoir accès au contenu des lettres. Bien que l'accès des attaquants ait été bloqué, il est impossible d'évaluer la quantité de données en leur possession et la façon dont elles seront utilisées à l'avenir.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.