Après Sunburst (Solarwinds), l’attaque contre Kaseya est la deuxième attaque sensationnelle contre la chaîne d’approvisionnement en six mois. Si l’on considère le nombre d’entreprises touchées simultanément, la cyberattaque est certainement l’une des plus importantes de l’histoire de la sécurité informatique. Commentaire sur la crise de Kaseya par Richard Werner, consultant commercial chez Trend Micro.
Le week-end du 4 juillet, jour de la fête nationale américaine, une cyberattaque a frappé le fournisseur de services Kaseya et s'est rapidement propagée à ses clients et à d'autres entreprises. Selon la plateforme d'information Bleepingcomputer, environ 50 clients directs du fournisseur ont été concernés, qui ont à leur tour infecté leurs clients en tant que prestataires de services. Selon l'agence de presse, environ 1.500 XNUMX entreprises dans le monde sont concernées.
50 clients Kaseya infectent 1.500 XNUMX autres entreprises
Trend Micro peut confirmer qu'il y a également eu des incidents en Allemagne. Le fait que l'attaque ait eu lieu lors de l'une des fêtes les plus importantes aux États-Unis n'est pas une coïncidence, mais un calcul minutieux de la part des auteurs - qui a fonctionné. Non seulement les équipes de sécurité informatique manquent généralement de personnel le week-end et les jours fériés, mais les chaînes de communication avec les clients concernés ont également été rompues, permettant à l'attaque de se propager sans entrave dans de nombreux cas. Si l’on considère le nombre d’entreprises touchées simultanément, la cyberattaque est certainement l’une des plus importantes de l’histoire de la sécurité informatique. Si vous les décomposez en parties individuelles, de nombreux parallèles avec d’autres attaques vous viennent à l’esprit. De ce schéma approximatif et répétitif, les entreprises peuvent tirer quelques enseignements utiles pour leur infrastructure :
Tout commence par la vulnérabilité
Ce qui est frappant dans l'affaire "Kaseya", c'est qu'une faille de sécurité a été utilisée dans le logiciel, dont le fabricant était au courant au moment du crime et dont la fermeture était déjà en phase bêta. Les attaquants n'avaient plus beaucoup de temps s'ils voulaient réussir. Le fournisseur de services a été informé de l'existence de la vulnérabilité via ce que l'on appelle une « divulgation responsable » et a travaillé à sa suppression. Le lien temporel est néanmoins inhabituel et laisse place à l’interprétation. Bien que le problème des correctifs soit bien connu dans le domaine de la sécurité informatique, les entreprises doivent garder à l'esprit que les attaquants ne recherchent pas seulement des vulnérabilités dans Microsoft ou d'autres variantes de logiciels largement utilisées, mais également dans les logiciels des fournisseurs de services informatiques. L'accent est particulièrement mis sur les applications qui sont en communication directe avec plusieurs appareils clients. Si vous développez vous-même des logiciels, ce fait doit également faire partie du calcul des risques.
Les spécificités d’une attaque de supply chain
L’ensemble de l’incident entre dans la catégorie des « attaques de la chaîne d’approvisionnement ». Dans cette catégorie, encore relativement rare mais de plus en plus courante, l'auteur infecte dans un premier temps les prestataires informatiques. Ceux-ci sont très intéressants car ils maintiennent des connexions informatiques existantes ou activables avec d'autres entreprises. Sont concernés, par exemple, les mécanismes de mise à jour qui effectuent des mises à jour directement dans des systèmes externes, mais également les systèmes de télémaintenance, de traitement des commandes, etc. Les malfaiteurs peuvent ainsi s'emparer d'une machine, généralement un serveur, dans le centre de données de la victime. Contrairement aux attaques « classiques », l'ensemble de la sécurité du réseau et des solutions de sécurité basées sur le client sont contournées. Ce qui reste, c'est ce qui est activé sur les systèmes serveurs et surveille les communications entre les systèmes serveurs.
Une technologie antivirus obsolète ouvre des voies
Surtout dans les centres de données sur site, il s’agit très souvent d’une technologie antivirus obsolète. De plus, des correctifs de sécurité importants manquent souvent – au cas où les systèmes d’exploitation seraient pris en charge. Cette circonstance garantit que l'auteur du crime peut souvent éliminer la victime finale extrêmement rapidement et se déplacer dans les systèmes presque sans être détecté. Plus les dégâts initiaux sont importants, mieux c'est pour l'attaquant, car cela peut créer une pression énorme. L'offre spéciale de Kaseya a donné aux criminels la possibilité non seulement d'atteindre directement les entreprises, mais également de toucher leurs clients. Ceci explique le nombre relativement important de victimes. Les attaques contre la chaîne d’approvisionnement sont relativement rares car elles sont compliquées et impliquent beaucoup d’efforts pour un attaquant. Leur effet est cependant souvent fatal.
Leçons de Kaseya
Il est important de comprendre qu’il ne s’agit pas d’une vague passagère. Dans le paysage actuel de la sécurité informatique en évolution rapide, des facteurs externes sont dans de nombreux cas responsables de la situation actuelle. Il s’agit notamment de l’importance de l’informatique dans les entreprises, de l’utilisation généralisée de l’informatique par les salariés et de l’émergence du Bitcoin. Alors que les deux premiers contribuent à rendre l’informatique et donc surtout la sécurité informatique des entreprises de plus en plus complexes et donc plus confuses, l’émergence des cryptomonnaies a en réalité révolutionné le cyberunderground. Cela permet aux protagonistes clandestins de se spécialiser de plus en plus et de commercer librement entre eux. Ces trois facteurs ne peuvent plus être inversés. La complexité mentionnée devient de plus en plus un fardeau pour les défenseurs, ce qui pose des problèmes tant dans le transfert que dans l'interaction purement interpersonnelle. Les entreprises doivent donc vérifier leur stratégie de sécurité actuelle pour détecter les techniques d'attaque modernes. L'exemple de Kaseya peut aider.
Plus sur TrendMicro.com
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.