.png)
Cloud Hopper : Une perspective de confiance zéro
Cloud Hopper, la campagne de piratage soupçonnée d'être orchestrée par des agents chinois parrainés par le gouvernement (affectueusement connus sous le nom de "APT10"), s'est déroulée de 2014 à 2017 au moins, et a touché de nombreuses entreprises occidentales dans divers secteurs d'activité. Cette opération de cyberespionnage était si importante qu'elle a continué à attirer l'attention des médias spécialisés dans la sécurité et les affaires en raison de l'ampleur de l'opération, de l'éventail des organisations ciblées, du type d'informations recueillies et, surtout, de la nature même de l'infraction initiale. Cloud Hopper doit son nom désormais bien connu à la compromission par les attaquants des fournisseurs de services gérés (MSP) des victimes, qui s'en servent pour "sauter" depuis le nuage "" des MSP vers les réseaux des entreprises cibles.
Il existe de nombreux excellents résumés et comptes rendus détaillés de la violation, tels que le rapport approfondi Operation Cloud Hopper de PWC, qui fournit une analyse approfondie de la violation. Plutôt que de répéter les mêmes informations, nous allons examiner Cloud Hopper du point de vue d'un cadre de confiance zéro, et plus particulièrement la manière dont l'adoption de ce type d'approche de la sécurité aurait pu réduire l'efficacité des attaquants.
Forrester Research a présenté pour la première fois la notion de confiance zéro il y a près de dix ans, en préconisant de passer de l'attitude de sécurité "faire confiance mais vérifier" à une approche "ne faire confiance à rien, tout surveiller, moindre privilège". Ce changement, qui consiste à passer d'un large périmètre de protection d'un groupe de nombreux actifs à un périmètre où chaque actif est considéré comme une cible, vise à éliminer la confiance inhérente qui rend les entreprises plus vulnérables aux attaques.
Le cadre de la confiance zéro s'étend sur sept piliers qui, une fois combinés, constituent une stratégie complète de sécurisation de l'entreprise. Il constitue également un point de départ utile pour analyser les raisons du succès d'une attaque et pour comprendre quel pilier aurait pu contribuer à contrecarrer l'attaque s'il avait été plus fort. Comme nous allons le voir, Cloud Hopper a connu un grand succès grâce à des niveaux de confiance excessifs, que les attaquants ont pu exploiter dans une tempête parfaite de lacunes en matière de contrôle.
Le point de départ, comme pour de nombreuses violations de données, a été la compromission du pilier "Personnes". Les attaques de spear phishing très ciblées ont utilisé des documents adaptés à la fois au secteur de l'entreprise ciblée. et la fonction de la personne qui reçoit le message. Cela permettait de s'assurer que la charge utile malveillante était exécutée, ce qui permettait à l'attaquant de prendre pied dans le réseau du fournisseur de services de gestion et d'obtenir les informations d'identification d'une victime. En outre, si les victimes disposaient d'un accès administratif, la barrière à l'entrée "" était encore réduite. Du point de vue de la confiance zéro, l'accès privilégié doit être fourni "Just-In-Time" (uniquement pour la période de temps nécessaire, et retiré une fois que l'accès n'est plus nécessaire) sur la base d'un besoin commercial approuvé à partir d'un système autorisé.
Le pilier suivant qui s'est écroulé a été le réseau. Le logiciel malveillant a effectué une reconnaissance du réseau de l'organisation, en cartographiant les actifs clés, en établissant des points d'appui persistants et en déterminant la manière la plus efficace d'atteindre la cible visée. Dans le cas de Cloud Hopper, il s'agit d'établir un chemin depuis l'hôte initial compromis (souvent appelé "tête de pont") sur le réseau du prestataire de services de gestion jusqu'à la cible finale dans l'environnement du client. Un autre élément clé du réseau était la capacité du logiciel malveillant à envoyer des informations et à recevoir des instructions par l'intermédiaire de son environnement de commandement et de contrôle (CNC ou C2) sur l'internet. Ces deux phases - la reconnaissance par la traversée du réseau et les capacités d'appel à domicile - seront examinées séparément, car elles mettent en évidence des types de défaillances distincts abordés dans les principes de sécurité des réseaux du cadre "Zero Trust".
En ce qui concerne l'appel à la maison, le logiciel malveillant dépendait fortement de sa capacité à communiquer avec son infrastructure CNC, au point de s'effacer complètement si cet accès échouait. Les environnements de bureau, où les logiciels malveillants sont le plus souvent diffusés, utilisent souvent des proxys web pour accéder à l'internet - étant donné que l'accès à l'internet est essentiel pour la productivité. Les organisations doivent être très attentives à la manière dont cet accès est géré, en veillant à ce que seuls les utilisateurs autorisés et authentifiés aient accès au proxy, et que cet accès soit au niveau minimum pour permettre aux utilisateurs d'exercer leurs fonctions habituelles. Cependant, même si ces contrôles sont correctement mis en œuvre, il suffit aux pirates d'enregistrer des domaines et de les placer dans la catégorie légitime du fournisseur de filtrage web pour contourner ces contrôles au niveau du proxy. Dans ce cas, l'enregistrement et le contrôle de tous les accès au web devraient être obligatoires et liés à certaines analyses du comportement de l'utilisateur final, de sorte que les écarts par rapport à l'activité normale puissent être identifiés et examinés.
La véritable clé du succès de Cloud Hopper a été la capacité des attaquants à se déplacer latéralement.
Mais la véritable clé du succès de Cloud Hopper a été la capacité des attaquants à se déplacer latéralement au sein de chaque réseau de MSP, avec peu de restrictions. Cela leur a permis de dresser rapidement une carte des hôtes, processus et ports disponibles susceptibles d'être exploités, et de déterminer ceux qui pourraient être les plus appropriés pour la phase suivante de l'attaque. " Pour reprendre une expression militaire, il s'agit souvent d'une campagne "de cyber-professionnels qui font des sauts d'île en île. La collecte réussie d'informations d'identification d'utilisateurs privilégiés et l'accès relativement illimité au réseau ont permis aux attaquants d'accéder aux systèmes d'une manière qui semblait légitime, en utilisant des protocoles de gestion courants, ce qui leur a permis de passer inaperçus. La reconnaissance du réseau, relativement peu exigeante, a permis d'identifier facilement les hôtes de saut qui fournissaient au MSP l'accès au réseau de chaque client, à partir duquel les attaquants ont pu accéder aux véritables cibles de leurs efforts.
Il s'agit d'un amalgame des lacunes des piliers de la confiance zéro pour les appareils, les réseaux et les charges de travail. Les réseaux plats, c'est-à-dire les réseaux peu ou pas segmentés, sont un terrain de jeu pour les adversaires, et cette situation ne fait pas exception. L'absence de segmentation ou de surveillance adéquate sur le réseau interne du MSP a permis aux attaquants de se déplacer sans effort et sans être détectés. La segmentation aurait empêché les attaquants de cartographier le réseau, d'identifier les chemins ouverts ou de se déplacer, sauf dans les cas explicitement autorisés par la politique. La visibilité de l'ensemble du trafic réseau aurait permis de comprendre les mouvements de l'attaquant, voire de déclencher une enquête suffisamment tôt pour arrêter l'attaque avant qu'elle n'atteigne les données ciblées. Les actifs clés tels que les serveurs de saut (également connus sous le nom d'hôtes bastion) étaient connectés aux réseaux du MSP et des clients, mais n'étaient pas suffisamment sécurisés en termes d'accès au réseau ou d'accès des utilisateurs. La mise en place d'une forme de gestion des accès privilégiés pour tous les accès aux serveurs de saut aurait considérablement limité la capacité des attaquants à pénétrer dans les réseaux des clients.
L'attaque "Cloud Hopper" met en évidence l'échec de plusieurs contrôles de sécurité clés et renforce la nécessité d'une approche différente de la sécurité - une approche dans laquelle les organisations supposent que la probabilité d'une violation est de 100%, et conçoivent leurs environnements de manière à pouvoir détecter rapidement une violation et à en minimiser l'impact. Compte tenu de la manière dont les attaquants avancés opèrent, l'approche la plus prudente est celle où, dès le départ, tout est construit selon le principe du moindre privilège - une approche de la sécurité fondée sur la confiance zéro.
