Australie Cyberattaque en cours : les outils de la menace « Copier/Coller »

La Cyberattaque en Australie est actuellement en cours. Le gouvernement indique les structures gouvernementales et les entreprises sont la cible d’attaque par un acteur étatique.

L’Australie appelle cette Cyberattaque « Copy-paste compromises » (la menace du Copier/Coller). Copier/Coller car elle utilise de manière intensive du code Open Source éprouvé, des Web Shell et d’autres outils copiés presque à l’identique à partir de l’open source.

Concernant le contexte politique, vous trouverez plus d’informations sur l’article du monde ou encore The Guardian. Les tensions entre la Chine et l’Australie grandissent depuis plusieurs semaines. Particulièrement après la demande d’enquête de l’Australie sur la gestion chinoise du Covid. Par ailleurs, les experts en sécurité pensent que les pays potentiellement capables de réaliser ce genre d’attaque sont la Russie et la Corée du Nord. La Chine n’est pas écartée non plus.

Cyberattaque Australie : les outils utilisés par la menace « Copier/coller »

Les procédures utilisées par le groupe de hacker sont identifié. La plus courante étant l’exploitation d’infrastructures publiques. Principalement par l’utilisation de vulnérabilité d’exécution de code à distance dans des versions non corrigées de l’interface utilisateur de Telerik. Parmi les autres vulnérabilités de l’infrastructure publique exploitées figurent une vulnérabilité de désérialisation dans Microsoft Internet Information Services (IIS), une vulnérabilité de SharePoint 2019 et la vulnérabilité de Citrix 2019.

Lors de la Cyberattaque Australie, les hackers ont montré leur capacité à exploiter rapidement des failles de sécurité publiques. Le premier objectif est de cibler les réseaux d’intérêt et rechercher des services vulnérables. L’acteur a également montré une aptitude à identifier les services des environnements de développement, de test, d’intégration et les services abandonnés qui ne sont pas bien connus , ni maintenus par les organisations victimes.

Le harponnage comme solution secondaire lors de la Cyberattaque Australienne

Lorsque l’exploitation des infrastructures publiques n’a pas réussi, les hackers ont utilisé diverses techniques de harponnage. Les emails contenaient des liens vers des sites web d’extraction de données, des liens vers des fichiers malveillant ou en pièce jointe. Mais aussi des liens qui permettaient à l’acteur d’obtenir le jeton d’authentification Office 365. Une fois l’accès obtenu, l’acteur a utilisé un mélange d’outils open source et d’outils personnalisés. Ceci dans le but de persister sur le réseau de la victime et interagir avec lui. Bien que les outils (Backdoor) soient en place sur le réseau, l’acteur migre vers des accès à distance légitimes en utilisant des identifiants volés. Pour répondre avec succès à cette menace Copier/Coller, tous les accès compromis doivent être identifiés et supprimés afin de minimiser l’efficacité de la Cyberattaque en Australie.

Par ailleurs, le blocage par géolocalisation d’IP n’a pu être mis en place. Le groupe de Hacker a utilisé des sites web australiens légitimes comme serveurs de commande, de relais et de contrôle.

A lire aussi

A lire également

0 0 votes
Article Rating
S’abonner
Notification pour
guest

1 Comment
Le plus populaire
Le plus récent Le plus ancien
Commentaires en ligne
Afficher tous les commentaires