Des hackers russes accèdent à des réseaux d'entreprise par des dispositifs IoT

le 07/08/2019, par Jon Gold / Network World (adaptation Jean Elyan), Sécurité, 595 mots

Selon Microsoft, le groupe de hackers russes Strontium exploite les faiblesses de dispositifs IoT - mots de passe par défaut inchangés, absence de mise à jour et inventaires non maîtrisés - pour mener des attaques contre des entreprises clientes.

Des hackers russes accèdent à des réseaux d'entreprise par des dispositifs IoT

En début de semaine, le centre de réponse aux problèmes de sécurité de Microsoft, a annoncé sur son blog que le groupe de hackers Strontium, très lié à des chercheurs en sécurité de l'agence de renseignement militaire russe GRU, est à l'origine d'une attaque ciblant les dispositifs IoT de ses clients, sans mentionner leurs noms. L'attaque, découverte en avril, visait trois appareils IoT spécifiques : un téléphone VoIP, un décodeur vidéo et une imprimante (la firme de Redmond a refusé de spécifier les marques de ces produits). Le groupe de pirate les a utilisés pour accéder aux réseaux des entreprises. Deux des dispositifs ont été compromis, dans un cas, parce que le mot de passe par défaut du fabricant n'avait pas été changé, et dans l'autre, parce que le dernier correctif de sécurité disponible n'avait pas été appliqué.

Les dispositifs compromis servaient de portes dérobées pour accéder aux réseaux sécurisés, ce qui permettait aux pirates d'explorer librement ces réseaux à la recherche d'autres vulnérabilités, d'accéder à d'autres systèmes et d'obtenir de plus en plus d'informations. Les attaquants ont également espionné des groupes d'administration sur des réseaux compromis afin d'obtenir des privilèges d'accès encore plus élevés. Ils ont aussi analysé le trafic local du sous-réseau pour obtenir des données supplémentaires.

1 400 notifications de piratage envoyées par Microsoft Le groupe de hackers Strontium, également connu sous les noms de Fancy Bear, Pawn Storm, Sofacy et APT28, serait à l'origine d'une multitude d'actions malveillantes dans le cyberespace menées pour le compte du gouvernement russe. On le soupçonne notamment du piratage, en 2016, du Comité national démocrate, l'instance nationale du Parti démocrate américain ; des attaques contre l'Agence mondiale antidopage ; du ciblage de journalistes enquêtant sur le crash du Vol 17 de la Malaysia Airlines abattu en vol le 17 juillet 2014 depuis la région de Donetsk, à l'est de l'Ukraine ; des menaces de mort envoyées en mai 2018 aux femmes de militaires américains en se faisant passer pour Daech, etc.

Selon un acte d'accusation publié en juillet 2018 par le bureau du Conseiller spécial Robert Mueller, les architectes des attaques Strontium appartiennent à un groupe d'officiers militaires russes, tous recherchés par le FBI pour ces crimes. Microsoft a informé ses clients de sa découverte et qu'ils étaient attaqués par des États-nations. Au cours des 12 derniers mois, l'éditeur a envoyé pas moins de 1 400 notifications pour alerter contre les attaques du groupe de pirates. « La plupart de ces notifications - quatre sur cinq - étaient adressées à des entreprises gouvernementales, l'armée, la défense, les secteurs IT, de la santé, de l'éducation et de l'ingénierie. Les autres notifications ont été envoyées à des ONG, des groupes de réflexion et autres « organisations affiliées à des partis politiques », selon Microsoft.

Les victimes connaissent mal leur réseau, ce qui les rend plus vulnérables Selon l'équipe de Microsoft, le haut niveau de vulnérabilité de ces institutions est essentiellement lié au fait qu'elles ne savent pas du tout quels appareils fonctionnent sur leurs réseaux. Microsoft leur a recommandé, entre autres, de faire un inventaire de tous les périphériques IoT présents dans leur environnement d'entreprise, de mettre en oeuvre des politiques de sécurité personnalisées pour chaque périphérique, de séparer les réseaux des périphériques IoT de leurs propres réseaux quand c'est possible, et de procéder à des audits de configuration et à des campagnes d'application de correctifs réguliers sur les gadgets électroniques.

(Crédit photo : Pixabay/The Digital Artist)

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...