Accueil
Case Studies
Infrastructure critique
Un menace provenant de l’étranger cible une station européenne d’épuration des eaux, responsable de la distribution d’eau auprès d’environ un million de personnes. Dans un premier temps, le site suppose que la nouvelle activité est légitime. Les agresseurs informatiques parviennent à compromettre les serveurs et à déployer des contre-mesures basées sur un ransomware.
Le défi de la sécurité
Les sites d’infrastructures critiques doivent s’adapter en permanence pour faire face à la complexité croissante des cyber-risques et à l’exposition accrue des menaces sophistiquées. Le type de ressources gérées fait des infrastructures critiques des cibles idéales pour les attaques à fort impact et l’exfiltration de données hautement sensibles.
En dehors des outils conventionnels d’analyse de réseau, la station d’épuration des eaux ne disposait en interne d’aucune surveillance des points de terminaison et d’aucune capacité de réaction en cas d’attaque. Ses outils ne permettaient pas de suivre les opérations transversales, comme les mouvements latéraux. En outre, le manque général de ressources informatiques a obligé l’opérateur à faire appel à des prestataires externes pour gérer des services essentiels tels que la messagerie électronique, les DNS, les VPN et les pare-feu, ce qui a rendu encore plus complexe la coordination des efforts de plusieurs prestataires distincts.
Nettoyage du segment de réseau infecté en quelques secondes, évitant ainsi les dommages qui auraient pu bloquer un service essentiel aux citoyens
Clôture réussie de l’incident en 2 jours sans perte de données, interruption des services essentiels ou dommages aux points de terminaison
L’attaque concernait une douzaine d’appareils avant l’étape de déploiement du ransomware et plusieurs milliers ensuite.
Présentation de la solution :
La station d’épuration des eaux a utilisé le logiciel IBM Security QRadar EDR sur tous les serveurs, ordinateurs de bureau et ordinateurs portables du site afin de surveiller en permanence chaque actif et de suivre et d’enquêter rapidement en cas de violations de sécurité potentielles. Grâce aux doubles moteurs d’IA intégrés de la solution et une analyse comportementale détaillée, le client a obtenu une parfaite visibilité sur l’infrastructure, permettant des requêtes en temps réel sur les points de terminaison et des recherches étendues d’indicateurs de compromission (IOC) et d’indicateurs de comportement (IOB), ainsi que des outils d’exploration des données pour découvrir les menaces dormantes.
Six mois après le déploiement, l’agent QRadar EDR a détecté une activité anormale initiale et a suivi le parcours des agresseurs informatiques pour accéder à un ensemble spécifique de données. Le logiciel antivirus traditionnel existant du client et le système de détection d’intrusion (IDS) n’ont détecté aucune activité jusqu’à la toute dernière étape de l’attaque. Si le client n’avait pas déployé QRadar EDR, les agresseurs informatiques auraient réussi à acquérir et à exfiltrer les données.
Attaque de la chaîne d’approvisionnement
Le jour de la transgression initiale, QRadar EDR a signalé une connexion suspecte à partir d’un serveur VPN vers un point de terminaison d’un segment de réseau non privilégié. L’équipe de sécurité suppose que la connexion était due à des travaux de maintenance effectués par un fournisseur de sécurité externe et a donc attribué une faible priorité à l’incident. Les agresseurs informatiques ont déployé un premier logiciel malveillant, principalement utilisé pour cartographier le segment de réseau à la recherche de chemins directs vers le réseau privilégié. Après avoir constaté qu’aucun chemin de ce type n’était disponible, les agresseurs informatiques ont déployé un deuxième logiciel malveillant dans la mémoire pour collecter des identifiants à réutiliser lors de mouvements latéraux ultérieurs. Une fois ces identifiants collectés, ils sont passés à l’étape suivante pour atteindre le contrôleur de domaine et peu après, un serveur de fichiers contenant des documents internes.
Analyse de la cause première
La première connexion anormale s’est produite en dehors des heures de travail, à partir d’un point de terminaison qui interagit habituellement avec les serveurs, mais pas avec les postes de travail. Le canal VPN était géré par un fournisseur externe qui était également chargé de maintenir le serveur de messagerie et les pare-feu, en plus du VPN lui-même. En raison de la nature de l’accès, l’alerte a été maintenue pour suivre chaque opération, mais à ce stade, l’équipe de sécurité interne a attribué une faible priorité à l’événement, en supposant que le fournisseur effectuait une maintenance sur l’infrastructure.
Le lendemain, QRadar EDR a déclenché une deuxième alerte, montrant l’activité d’un logiciel malveillant léger utilisé pour scanner le réseau interne, bientôt suivie d’une autre alerte signalant la présence d’un vecteur en mémoire doté de capacités d’enregistrement de clés et de collecte d’identifiants. A ce moment-là, l’équipe de sécurité s’est concentrée sur ces événements, initiant une session de recherche de menaces alors que les agresseurs informatiques ont finalement réussi, par une série de mouvements latéraux, à accéder à l’un des contrôleurs de domaine. L’équipe a décidé de profiter de l’invisibilité de la technologie NanoOS pour suivre les agresseurs informatiques le plus longtemps possible afin de comprendre leur modus operandi et leurs objectifs.
Alors que les agresseurs informatiques tentaient d’atteindre le serveur de fichiers contenant des informations très sensibles, l’équipe a décidé de les arrêter et de lancer le plan d’éradication. Pendant que l’on remédiait à la situation des différents appareils, les agresseurs informatiques se sont rendu compte que, malgré le haut niveau d’accès, ils ne pouvaient pas accéder aux informations qu’ils recherchaient. Se croyant découverts, ils ont déployé un ransomware sur l’ensemble de l’infrastructure pour couvrir leurs traces.
Attaque et reconstruction
Une fois que les motivations de l’attaque étaient claires, l’opérateur devait comprendre l’ensemble de l’attaque afin de renforcer les points faibles de l’infrastructure. L’attaque a concerné une douzaine de dispositifs avant la phase de déploiement du ransomware (phase 1) et plusieurs milliers après (phase 2).
Les agresseurs informatiques ont réussi à obtenir l’accès au fournisseur du VPN et des serveurs de messagerie et les ont utilisés comme points d’entrée initiaux dans le réseau interne. Les agresseurs informatiques ont réutilisé les identifiants du fournisseur pour se déplacer dans différentes machines, avant de se fixer sur un poste de travail spécifique. A ce stade, ils ont utilisé une chaîne d’outils pour scanner le réseau interne et identifier les cibles des mouvements latéraux. Lors de l’étape finale, ils ont utilisé le contrôleur de domaine lui-même pour diffuser le ransomware sur chaque appareil.
Le client a automatisé le processus de nettoyage à l’aide du module de remédiation de QRadar EDR, et il a utilisé la protection anti-ransomware de la solution pour prévenir les pertes de données et l’interruption des opérations.
La station d’épuration des eaux a sécurisé l’accès au VPN et a mené une session de recherche des menaces qui a identifié chaque machine à laquelle les agresseurs informatiques ont réussi à accéder. Le module de remédiation de QRadar EDR a automatisé le processus de nettoyage ; le segment a été nettoyé en quelques secondes. Tous les outils utilisés lors de la phase de reconnaissance et de mouvements latéraux ont été obtenus et une politique comprenant l’IOC et les comportements a été immédiatement propagée sur l’ensemble de l’infrastructure. Aucun hôte compromis supplémentaire n’a été identifié après le déploiement de la politique. Les informations d’identification ont été immédiatement réinitialisées pour tous les utilisateurs et l’attaque par ransomware n’a nécessité aucune autre intervention car le client a activé la protection anti-ransomware de QRadar EDR pour tous les appareils, ce qui a permis d’éviter la perte d’informations importantes et l’interruption des activités.
Le site a clos l’incident avec succès le deuxième jour, sans aucune perte de données, interruption des services essentiels ou dommage aux points de terminaison.
Si l’installation n’avait pas utilisé QRadar EDR, les agresseurs informatiques auraient certainement exfiltré des informations sensibles et seraient peut-être restés actifs pendant une période prolongée, avec le risque de voir l’ensemble de l’infrastructure désactivée par l’attaque finale par ransomware. Une attaque aussi dévastatrice aurait eu un impact énorme sur la capacité de la station à fournir des services essentiels aux citoyens de la région, elle aurait même pu les bloquer complètement. Compte tenu de la difficulté à identifier les attaques de la chaîne d’approvisionnement, la station aurait pu être piratée à nouveau par le même canal si aucune information criminalistique n’avait été disponible pour déterminer la cause profonde de la transgression.
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Produit aux Etats-Unis d'Amérique, juin 2023
IBM, le logo IBM, IBM Security et QRadar sont des marques commerciales ou des marques déposées d'International Business Machines Corporation, aux Etats-Unis et/ou dans d'autres pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible sur ibm.com/trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans
préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Toutes les références clients mentionnées ou décrites illustrent la façon dont certains clients ont utilisé les produits IBM et précisent les résultats qu'ils ont pu obtenir. Les chiffres réels en termes de coûts environnementaux et de performances peuvent varier d'un client à l'autre en fonction de la configuration et des conditions de fonctionnement. En général, les résultats attendus ne peuvent pas être garantis, car les résultats de chaque client dépendent entièrement des systèmes du client et des services commandés. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L'ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET TOUTE GARANTIE OU CONDITION D'ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration sur les bonnes pratiques de sécurité : aucun système ou produit informatique ne doit être considéré comme complètement sécurisé, et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher une utilisation ou un accès non autorisé. IBM ne garantit pas qu'un système, produit ou service, quel qu'il soit, est à l'abri, ou mettra votre entreprise à l'abri, de la conduite malveillante ou illégale de quelque partie que ce soit.