Les opérateurs de télécommunications jouent un rôle capital dans une société où les entreprises, les gouvernements et les consommateurs dépendent en permanence de leur bon fonctionnement. Or, c’est précisément cette omniprésence qui fait des systèmes de télécommunications la cible privilégiée de certains gouvernements et cybercriminels à travers le monde.

Cibler le secteur des télécommunications, une activité de plus en plus prisée

Les attaques visant le secteur des télécommunications ont plus que doublé au cours des 12 derniers mois. Dans l’ensemble, 40% des tentatives d’attaques ciblées détectées par les experts d’OverWatch pointaient sur ce secteur particulièrement attrayant pour les États-nations qui ne manquent pas d’utiliser ce vecteur pour exécuter leurs propres missions de surveillance, de renseignement et de contreespionnage. Il n’est dès lors guère surprenant que les télécommunications arrivent en tête du Top 5 des industries ciblées par les États-nations.

La plupart des attaques menées contre des opérateurs télécoms émanent de groupes proches de la Chine, même si des acteurs liés à l’Iran ont également été identifiés. Les opérations ciblant les entreprises de ce secteur montrent que la protection des données confidentielles et des infrastructures critiques revêt une importance croissante. C’est une raison supplémentaire d’examiner à la loupe un paysage en évolution permanente — sans oublier ses acteurs — dans le but de trouver les méthodes efficaces pour neutraliser leurs tactiques, techniques et procédures (TTP).

Principales tactiques, techniques et procédures utilisées

Pour accéder initialement au réseau de leurs victimes, les attaquants ciblant le secteur des télécoms emploient différentes techniques. Parmi les plus courantes, citons le harponnage (spearphishing), l’exploitation des vulnérabilités, l’infection de la chaîne d’approvisionnement ou l’utilisation d’identifiants légitimes à des fins malveillantes. Une fois cette première étape franchie, les agresseurs utilisent des outils natifs tels que le service WMI (Windows Management Instrumentation) ou divers interpréteurs de commandes et de scripts (Powershell par exemple) pour accomplir leur mission. Mais pour échapper aux radars et poursuivre leur tâche sans être dérangés, ils continuent de chercher de nouveaux hôtes qui leur permettront de collecter des identifiants et de se déplacer latéralement à l’intérieur de l’environnement cible en toute discrétion et en parfaite impunité.

Pour s’emparer des identifiants souhaités dans l’environnement Microsoft, les pirates utilisent l’application Mimikatz, lisent la mémoire du processus LSASS (souvent au moyen du fichier exécutable comsvcs.dll ou de l’utilitaire de ligne de commande ProcDump), ou modifient la clé de registre WDigest pour stocker les mots de passe en texte clair. Sous Linux, les attaquants qui tentent de récupérer des identifiants examinent généralement le contenu des fichiers sensibles (.bash_history, passwd, shadow), ainsi que d’autres fichiers de configuration et scripts d’administration.

Il n’est pas rare que les cyberattaquants utilisent des pages de connexion en ligne en les modifiant de telle sorte que les informations de connexion puissent elles aussi être stockées et récupérées ultérieurement. Ainsi, les hackers ne sont plus pressés par le temps pour mener à bien leur entreprise d’accès initial. Les « shells Web » permettent également de gérer les réseaux de plusieurs victimes via une seule et même interface. Le risque de voir un groupe de pirates lancer plusieurs attaques simultanément est donc bel et bien réel, étant donné que les mesures nécessaires à l’exécution de telles opérations sont considérablement simplifiées. De plus, les shells Web peuvent être utilisés en raison de leur simplicité et de leur compatibilité multi-plateformes, voire dans différents environnements de serveurs Web. Munis d’un tel arsenal, les acteurs peuvent savoir quand, comment, et où les détails d’appels et les SMS sont transmis et enregistrés avant de passer à l’attaque.

Des dommages collatéraux considérables

Pour masquer leurs objectifs et leurs intentions réelles, les attaquants procèdent dans de nombreux cas à l’exfiltration des données sur une très grande échelle, bien que dans la plupart des cas, seules les informations des certaines personnes les intéressent. Les dégâts ainsi provoqués sont immenses. C’est pourquoi il est très important d’identifier et de stopper les attaquants — une démarche qui s’avère souvent plus complexe que prévu ; en effet, nombre de criminels disposent d’une solide connaissance des réseaux ciblés, ce qui les rend difficiles à distinguer des administrateurs légitimes. Face à une menace, une approche de la cyberdéfense à la fois complète et capable de détecter ces activités et de les combattre avec succès est indispensable, tout particulièrement pour les infrastructures critiques.

Pour contrer les tactiques et techniques des attaquants modernes, les entreprises doivent s’appuyer non seulement sur les technologies les plus récentes, mais également sur le savoir-faire des hommes et sur une stratégie active de chasse aux menaces. Ces experts recherchent inlassablement les tactiques, techniques et procédures originales et anormales qui échappent aux outils de détection habituels afin de les bloquer dès qu’elles ont été identifiées.
___________________

par Jörg Schauff, Threat Intelligence Advisor, CrowdStrike