Comment se protéger contre les nouvelles tactiques, techniques et procédures d’État lorsqu'on est MSP

En mai dernier, les agences américaines FBI et NSA ainsi que le NCSC au Royaume-Uni ont publié un rapport avertissant que des groupes liés au Service de Renseignements de la Fédération de Russie (SVR) mènent des cyberattaques dangereuses en modifiant leurs tactiques, techniques et procédures (TTP) habituelles.

Le rapport, intitulé Further TTPs associated with SVR cyber actors, fournit des détails sur ces nouvelles TTPs, cite les groupes associés à la Russie (APT29, Cozy Bear et Dukes) et les tient pour responsables de récentes cyberattaques majeures. Il affirme que le SVR utilise une variété d’outils et de techniques contre des cibles gouvernementales, diplomatiques, sanitaires et énergétiques étrangères afin d’obtenir des renseignements. Il avertit également que le SVR est très sophistiqué et dispose de capacités suffisantes pour nuire aux États, aux MSPs et aux organisations du monde entier.

Obtenir un accès en exploitant les failles et la supply chain

Les analystes notent que le SVR utilise principalement deux techniques pour accéder aux systèmes. Elles sont identifiées dans la matrice MITRE ATT&CK qui classifie les TTPs :

• Le balayage massif de programmes à la recherche de failles potentielles.
• L’exploitation de logiciels destinés au public - Cela comprend les piratages comme ceux visant les applications Citrix.

Cependant, le rapport souligne également l’importance du ciblage de la supply chain pour ces acteurs. Ces cyberattaques ont permis au SVR d’accéder à de nombreuses entreprises. L’attaque la plus médiatisée de cette nature a été Sunburst : une cyberattaque massive qui a touché le logiciel de gestion de réseau d’entreprise de SolarWinds, utilisé par des centaines de grandes entreprises telles que Microsoft, Intel, Cisco ou encore SAP.

Cobalt Strike et Sliver

Les analystes des différentes agences soulignent qu’à de multiples occasions, des groupes liés au SVR ont utilisé Cobalt Strike, un programme de Command & Control (C&C) qui permet toutes sortes d’opérations au sein des systèmes une fois qu’ils ont obtenu un accès initial grâce aux techniques décrites ci-dessus.

En ce qui concerne SolarWinds, l’analyse scientifique de l’une des entreprises victimes de l’attaque a montré que les pirates informatiques ont utilisé les malwares GoldFinder, GoldMax et Sibot. Ces malwares ont été déployés pour mettre à profit des fonctions de porte dérobée et comme chargeurs.

Cependant, les chercheurs soulignent que ces cyberacteurs ont surtout utilisé la plateforme Sliver, un autre outil de simulation qui prend en charge une grande variété de mécanismes de Command & Control une fois que le système a été pénétré. Il est frappant de constater que pour chaque grande entreprise ciblée par Sliver, les pirates informatiques ont utilisé des infrastructures différentes, comme les systèmes à partir desquels ils opèrent, probablement pour rendre leur traque plus difficile et pour maintenir plus longtemps leur contrôle sur les systèmes qu’ils ont touchés.

Mises à niveau et approche Zero-Trust pour les MSP et leurs clients

Comme nous l’avons vu, le rapport montre que les cybercriminels utilisent des techniques et des procédures très avancées, qui constituent donc une menace importante pour les fournisseurs de services et leurs clients.

Cependant, les MSPs peuvent réduire les risques de cyberattaques et d’intrusion dans les entreprises s’ils appliquent les bonnes pratiques et disposent des bons outils.

Premièrement, étant donné que les techniques employées par les pirates pour obtenir un premier accès exploitent les failles des systèmes et des logiciels, il est essentiel de s’assurer que les dernières mises à jour et les derniers correctifs sont installés pour tous ces éléments afin de minimiser les risques afférents.

Deuxièmement, les cyberattaques de la supply chain montrent que tout logiciel, aussi légitime qu’il puisse paraître, peut être un vecteur d’entrée pour les malwares. Cela signifie que les MSPs doivent mettre en œuvre des outils qui reposent sur un principe de méfiance absolue et ce, jusqu’à ce que leur sécurité soit prouvée à 100 %.

À cet égard, les solutions WatchGuard pour la sécurité des endpoints apportent une réponse efficace pour les MSPs, car elles réduisent et atténuent les types de risque présentés dans le rapport SVR, tant pour les entreprises que pour leurs clients. En plus de proposer des fonctionnalités Endpoint Protection, Detection and Response complètes, elles sont basées sur une approche dite Zero-Trust et dotées du service gratuit Zero-Trust Application, ce qui signifie que chaque binaire est préanalysé avant d’être exécuté. En outre, ces solutions sont intégrées à la plateforme de cybersécurité unifiée, WatchGuard Cloud, qui simplifie la gestion de la sécurité de bout en bout pour les MSPs.