Le saut d'île en île ressemble probablement plus à une activité que vous mèneriez aux Bahamas plutôt qu'à une attaque stratégie, mais il est en fait utilisé assez souvent par les cybercriminels qui cherchent à cibler des réseaux sans pirater directement en eux. Alors, qu'est-ce qu'une attaque d'île en île et comment pouvez-vous vous en protéger ?
Qu'est-ce qu'une attaque d'île en île ?
Le terme « d'île en île » vient de la Seconde Guerre mondiale. Les forces américaines voulaient se rendre au Japon continental et devaient se déplacer d'île en île, en utilisant chacune comme rampe de lancement pour la suivante, avec le continent comme cible principale. C'était connu sous le nom de saute-mouton à l'époque.
Dans une attaque d'île en île, les acteurs de la menace s'en prennent à vos partenaires et à d'autres associés tiers, en utilisant leurs cyber-vulnérabilités pour accéder à votre réseau plus sécurisé. Ces acteurs de la menace sont des entités ou des individus qui participent à des actions qui compromettent ou ont le potentiel d'affecter la cybersécurité de votre organisation. Ils peuvent faire n'importe quoi pour contourner les pare-feu de leur cible, et une méthode efficace consiste à sauter d'île en île.
Les entreprises manufacturières, financières et de vente au détail sont principalement les cibles de cette forme de cyberattaque. Dans de tels cas, les systèmes de sécurité de la cible sont hermétiques et largement immunisés contre les invasions directes, de sorte que les pirates passent par des partenaires considérablement moins sécurisés.
Ces partenaires ont la confiance de l'organisation cible et sont connectés à son réseau. Les pirates exploitent la relation de confiance et attaquent les mécanismes de défense complexes de la cible réelle à travers ses liens faibles avec d'autres organisations.
Comment fonctionne l'attaque d'île en île ?
Les attaques par saut d'île sont efficaces car elles ne déclenchent pas d'alertes dans le système de sécurité de la cible. Ces alertes sont généralement déclenchées lorsqu'il y a une tentative d'entrée dans le réseau hôte à partir d'un périphérique non approuvé ou non enregistré. Les entrées des partenaires sont rarement signalées; les acteurs de la menace profitent de ce laps de temps.
Il existe trois méthodes standard que les acteurs de la menace adoptent dans leur mission d'île en île.
1. Attaque basée sur le réseau
Cette méthode consiste à infiltrer le réseau d'une organisation et à l'utiliser pour sauter sur un autre réseau associé. Dans cette attaque, les acteurs de la menace s'en prennent généralement à l'organisation Fournisseur de services de sécurité gérés (MSSP).
Les MSSP sont des fournisseurs de services informatiques qui vendent de la sécurité aux petites et grandes entreprises, les protégeant contre les menaces de cybersécurité. Ils utilisent un logiciel ou une équipe de personnel pour répondre à ces menaces dès qu'elles surviennent. De nombreuses entreprises sous-traitent leur service de sécurité informatique à ces MSSP, faisant de ces fournisseurs une cible pour les pirates.
2. Attaques de point d'eau
Cette forme de saut d'île en île consiste à infiltrer des sites fréquentés par les clients, les partenaires commerciaux et les employés de la cible principale. Les acteurs malveillants évaluent la sécurité des sites et introduisent des liens malveillants lorsqu'ils trouvent des faiblesses.
Ces liens mènent à des plates-formes compromises qui injectent automatiquement des logiciels malveillants sur l'ordinateur. Une fois que le logiciel malveillant injecté est opérationnel, les acteurs de la menace peuvent utiliser les informations rassemblées pour accéder à la cible principale.
3. E-mail professionnel compromis
Une escroquerie par hameçonnage est généralement la première étape de cette méthode. Les cybercriminels se présentent comme une entité commerciale réputée. Yahoo, Facebook et les banques commerciales populaires sont principalement utilisés dans ces attaques, car les pirates envoient des liens malveillants dans les spams.
Une fois l'appât pris et le lien cliqué, les pirates utilisent des logiciels malveillants pour compromettre l'ordinateur de l'utilisateur. Cette méthode cible les hauts fonctionnaires ou cadres de l'organisation.
Logiciel d'enregistrement de frappe est parfois utilisé ici pour voler les comptes de messagerie de ces cadres. Les informations sensibles sont extraites des comptes de messagerie, puis utilisées pour infiltrer l'organisation cible.
Précédents d'île en île: Target et SolarWinds
En 2013, l'une des plus grandes entreprises de vente au détail des États-Unis, Target, a été impliquée dans un cauchemar d'île en île. Et en 2020, SolarWinds, un fournisseur de gestion informatique, a été victime d'une attaque d'île en île.
Cible: Le cauchemar des fêtes de fin d'année
Les acteurs de la menace ont compromis le système de point de vente de Target et volé les informations financières d'environ 40 millions de clients. Cela a conduit Target à payer le plus gros jamais règlement des violations de données.
18,5 millions de dollars ont été convenus pour régler 47 États et le district de Columbia après que des pirates ont volé la plupart des informations sur les cartes de crédit et de débit des clients du géant de la vente au détail pendant les vacances de 2013 saison. Cette violation de données a coûté à Target plus de 300 millions de dollars. Mais ce n'était pas une attaque directe contre les serveurs de l'entreprise.
Tout a commencé avec Fazio Mechanical Services, une autre entreprise qui fournit à Target le chauffage et la réfrigération. Ils ont vécu une attaque de logiciel malveillant deux mois avant la faille de sécurité de Target. Les acteurs de la menace se sont débarrassés des identifiants de messagerie et les ont utilisés pour accéder aux serveurs de Target.
Vents solaires
Cette attaque a touché plus de 18 000 entreprises et même des ministères du gouvernement américain. Toutes les personnes concernées avaient une chose en commun: un fournisseur de gestion informatique appelé SolarWinds.
Comme pour les attaques d'île en île, SolarWinds n'était pas la cible principale. Avec le nombre de départements du gouvernement américain qui ont été touchés, il y avait des rumeurs selon lesquelles le les pirates ont été soutenus par le gouvernement russe, espérant déstabiliser le Congrès américain.
SolarWinds a confirmé l'attaque pour la première fois en décembre 2020, bien qu'elle n'ait pas été détectée pendant plusieurs mois. En mars 2021, les pirates ont volé les identifiants de messagerie du Département de la sécurité intérieure, même si la plupart des ministères avaient averti leurs employés de fermer Orion, le SolarWinds concerné produit. Les attaques ont également touché les ministères de l'Énergie, du Trésor et du Commerce, Mimecast et Microsoft.
Comment se protéger des attaques d'île en île
Avec la prévalence du saut d'île en île, vous devez prendre des mesures pour empêcher votre réseau et vos serveurs d'être attaqués par des parties malveillantes. Voici quelques façons de procéder.
1. Utiliser l'authentification multifacteur
Authentification multifacteur implique l'utilisation de divers contrôles de vérification, comme les confirmations d'empreintes digitales et d'identité, pour confirmer l'identité de toute personne essayant d'accéder à votre réseau. Cette couche de sécurité supplémentaire, bien que fastidieuse, s'avère toujours utile. Les pirates avec des identifiants de connexion volés trouveront presque impossible de passer une vérification de confirmation d'empreintes digitales ou une vérification d'identité faciale.
2. Ayez un plan de réponse aux incidents en attente
Les attaques d'île en île prennent de nombreuses formes, et parfois les protocoles de sécurité réguliers peuvent ne pas suffire à prévenir tout événement. Votre logiciel de sécurité doit être constamment mis à jour à mesure que les attaques par saut d'île deviennent plus sophistiquées. Aussi, il est préférable d'avoir une réponse à un incident équipe en attente pour faire face aux menaces imprévues qui peuvent contourner la sécurité et faire face aux dernières menaces.
3. Adoptez les dernières normes de cybersécurité
De nombreuses organisations reconnaissent les risques liés au saut d'île en île et ont établi des normes de cybersécurité pour tous les partenaires et associés potentiels. Conseiller les partenaires actuels pour mettre à niveau leurs systèmes de sécurité; ceux qui n'ont pas de vérifications avancées devraient avoir un accès restreint à votre réseau.
Ne soyez pas une victime: restreignez l'accès ou améliorez votre sécurité
Les attaques d'île en île sont devenues plus fréquentes. Les organisations avec des protocoles de sécurité laxistes risquent d'être victimes d'acteurs malveillants à moins qu'elles ne mettent à niveau leurs systèmes.
Cependant, il en faut plus. Les partenaires tiers sans systèmes de sécurité avancés présentent un risque et ne devraient pas avoir un accès illimité. S'il est impossible de limiter l'accès, ces partenaires doivent mettre à niveau leurs systèmes.
