En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

ExtraHop a observé une augmentation de 150 % des activités réseau suspectes

Publication: Février 2021

Partagez sur
 
Des investigations post-attaque ont mis au jour des comportements d’attaque sophistiqués visant à contourner les méthodes de détection et contrôles de sécurité traditionnels...
 

ExtraHop, leader des solutions cloud-native de détection et réponse réseau, a publié aujourd’hui un rapport de sécurité passant au crible les méthodes utilisées par les cybercriminels pour opérer incognito avant la découverte de l’exploit SUNBURST. Dans cette publication, l’entreprise révèle avoir constaté une augmentation significative des activités réseau suspectes, qui malgré tout n’ont éveillé aucun soupçon en raison des privilèges et du statut de confiance de SolarWinds sur le réseau. Elle dresse également une liste élargie de plus de 1 700 indicateurs de compromission (IoC) observés dans les environnements visés par l’attaque et protégés par Reveal(x). Ces informations pourront se révéler essentielles pour les organisations qui cherchent à déterminer si et dans quelle mesure elles ont été affectées.

Parallèlement à leurs propres investigations, les chercheurs d’ExtraHop ont aidé certains clients à détecter et corriger l’exploit SUNBURST. Ils ont ainsi découvert que les activités potentiellement malveillantes avaient augmenté d’environ 150 % entre fin mars 2020 et début octobre 2020. Déplacement latéral, escalade de privilèges, connexion à un serveur de commande et contrôle... quelle que soit la technique utilisée, les attaquants ont réussi à échapper aux méthodes de détection classiques telles que les solutions de détection et de réponse sur les terminaux (EDR) et les antivirus. Selon les schémas d’activité décrits dans le rapport, il semblerait que les cybercriminels à l’origine de SUNBURST aient réussi à déjouer les systèmes de détection en les désactivant ou en changeant d’approche avant de pouvoir être repérés.

« Nos investigations ont démontré que des activités réseau suspectes avaient bien été détectées, » indique Jeff Costlow, RSSI adjoint chez ExtraHop. « Mais comme elles n’ont fait l’objet d’aucune alerte de la part des autres systèmes de détection, elles ont été en grande partie ignorées. En l’occurrence, l’attaque avait été spécifiquement pensée dans cette optique. On peut donc s’attendre à de nouvelles attaques de ce genre. Si l’on devait en tirer une seule leçon, c’est que le réseau ne ment jamais. »

Le rapport ne se contente pas de lever le voile sur la stratégie adoptée par les auteurs de l’attaque SUNBURST pour opérer pendant si longtemps sans éveiller les soupçons. Il revient également sur les cas de plusieurs clients d’ExtraHop qui sont parvenus à détecter et neutraliser l’exploit dans leurs environnements respectifs. Ces études de cas apportent un éclairage pointu sur la façon dont les indicateurs historiques ont permis de déterminer la durée de la compromission et d’identifier les systèmes et données susceptibles d’avoir été affectés.

https://www.extrahop.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: