Bitdefender a publié une étude détaillant l'espionnage industriel sophistiqué contre une entreprise technologique américaine. L'attaque s'est déroulée sur plusieurs mois et s'est concentrée sur l'exfiltration de données.
Un vaste réseau de plusieurs centaines d'adresses IP (la plupart provenant de Chine) a été utilisé pour l'attaque. Dans le cadre de l'étude, Bitdefender conclut que ce type d'attaque est susceptible d'augmenter et conseille aux entreprises de l'industrie, de l'énergie, de la finance, de la défense et d'autres secteurs critiques d'être en état d'alerte maximale.
Campagne d'espionnage sur les partenaires de Bitdefender
L'origine de l'étude était une campagne d'espionnage sur un partenaire de Bitdefender, un fabricant américain de matériel informatique comptant moins de 200 employés. L'attaque a duré plusieurs mois et impliquait l'exploitation de vulnérabilités connues avec des techniques d'extraction de données sophistiquées.
De telles attaques dites hybrides deviennent de plus en plus courantes. Ils combinent des tactiques opportunistes, telles que l'analyse automatisée des vulnérabilités, avec des techniques sophistiquées, telles que l'extraction de données critiques de l'entreprise. De telles attaques sont compromises à l'aide de scanners automatisés, dont les résultats sont ensuite vérifiés par un humain pour déterminer s'il vaut la peine d'utiliser des techniques complexes pour cibler et extraire les données de la cible.
Accès via une vulnérabilité connue et couramment exploitée
Le vecteur d'infection initial dans ce cas était une instance Internet du serveur Web "ZOHO ManageEngine ADSelfService Plus", qui a été exploitée via une vulnérabilité connue, non corrigée et couramment exploitée (CVE-2021-40539). Cela a permis aux acteurs de contourner l'authentification de sécurité et d'exécuter manuellement du code arbitraire. Une fois que les criminels ont eu accès, ils ont déployé un shell Web dans un répertoire auquel ils pouvaient accéder sur Internet et l'ont utilisé pour accéder à distance à un serveur Web.
Un immense réseau avec plusieurs centaines d'adresses IP (la plupart provenant de Chine) a été utilisé pour l'attaque. Bien que des alertes de sécurité aient été générées, l'attaque sophistiquée a été effectuée à l'aide de commandes manuelles et n'a donc pas été détectée.
Les exploits de vulnérabilité ont doublé en 2021
Celui décrit dans ce cas L'attaque coïncide avec les conclusions du dernier rapport d'enquête sur les violations de données 2022, selon lequel le nombre de failles de sécurité causées par l'exploitation de vulnérabilités a doublé au cours de l'année écoulée. Bitdefender s'attend à ce que cette tendance se poursuive. Les attaquants se concentrent de plus en plus sur la violation de la confidentialité (exfiltration de données) plutôt que sur la disponibilité (à l'aide de ransomwares). Les entreprises de toutes tailles qui sont considérées comme un objectif précieux ou un chemin vers un objectif plus grand sont à risque.
« Les organisations de toutes formes et tailles ont besoin d'une sécurité multicouche qui inclut des capacités de prévention, de détection et de réponse aux menaces. Dans ce cas, l'attaque a utilisé une vulnérabilité de serveur Web connue, puis a appliqué des techniques sophistiquées de compromission manuelle des terminaux et d'exfiltration de données », explique Bob Botezatu, directeur de la recherche sur les menaces chez Bitdefender. « C'est un excellent exemple de la raison pour laquelle l'exploitation des services gérés de détection et de réponse est essentielle dans le paysage des menaces d'aujourd'hui. Quelle que soit la taille d'une entreprise, grande ou petite.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de