Ces failles déjà connues utilisées par les pirates du CHU de Brest

Ces failles déjà connues utilisées par les pirates du CHU de Brest


L’Anssi l’avait déjà regretté: c’est avec les vieilles failles que l’on fait les meilleures attaques. Le cyber-pompier de l’Etat vient de rajouter indirectement une couche sur ce thème en publiant, par l’intermédiaire de son centre de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), un instructif rapport sur l’attaque informatique qui avait visé en mars 2023 le centre hospitalier universitaire (CHU) de Brest.


Car dans ce document de quinze pages, les experts de l’Anssi rappellent en effet que les attaquants se sont notamment appuyés sur un enchaînement de vulnérabilités connues pour tenter de maximiser les dégâts. Cela “démontre l’importance d’avoir une double authentification et une politique de patch des vulnérabilités, surtout les plus classiques, pour éviter les élévations de privilèges”, résume sur LinkedIn Jean-Sylvain Chavanne, le responsable de la sécurité des systèmes d’information du CHU de Brest.

Cinq vulnérabilités connues visées 

Les pirates avaient d’abord réussi à pénétrer le réseau informatique en utilisant les identifiants d’un professionnel de santé. Cet accès avait vraisemblablement été obtenu de manière opportuniste grâce à un stealer, ces logiciels voleurs d’informations. Une fois rentrés dans la bergerie, les pirates informatiques ont ensuite tenté d’élever leurs privilèges en exploitant deux vulnérabilités connues dans Windows, signalées en 2022 et en 2023, sans succès.



Puis, après avoir visé la forêt Active directory, un regroupement de plusieurs domaines, les pirates informatiques ont essayé  avec l’outil Mimikatz d’exploiter, à nouveau en vain, trois vieilles failles, PrintNightmare, BlueKeep et ZeroLogon. La première, découverte en 2021, permet l’exécution de code arbitraire via le spouleur d’impression, ce service de file d’attente des documents à imprimer. La seconde, qui date de 2019, vise le protocole de bureau à distance, tandis que la troisième, découverte en août 2020, s’attaque au protocole Netlogon Remote Protocol.

Trentaine d’attaques par rançongiciel

Mauvaise pioche donc pour les pirates informatiques, qui n’ont pas pu – pour cette fois? – passer par ces brèches. Mais ces hackeurs sont loin d’être des bleus. Les experts de l’Anssi ont relié l’attaque du CHU de Brest, qui s’est bien terminée, sans chiffrement ni vol de données, au groupe FIN12. Des cybercriminels connus pour viser des entreprises susceptibles de payer des rançons élevées et le secteur de la santé.


Déjà repérés par la société de cybersécurité Mandiant et l’éditeur Microsoft, ces pirates informatiques seraient impliqués dans des attaques par rançongiciel contre une trentaine d’organisations entre 2020 et 2023, compte l’Anssi. Actifs depuis au moins l’année 2019, ces cybercriminels sont suspectés d’avoir jonglé avec une poignée de rançongiciels, dont Ryuk, Conti, Hive, Nokoyawa, Play et Royal. Soit autant de signes d’une insertion étroite dans l’écosystème des cybercriminels.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.