Gestion informatique : cette externalisation porteuse de risques cyber

Sécurité
securite-gestion-informatique

PwC et BAE Systems mettent le doigt sur une opération d’espionnage fondée sur des attaques contre les prestataires de gestion informatique externalisée.

Avez-vous pensé à inclure vos fournisseurs dans l’analyse de votre risque cyber ?

PwC pose indirectement la question en conclusion d’un rapport publié avec le groupe britannique BAE Systems.

Ledit rapport attire l’attention sur des campagnes de cyberespionnage pilotées par un collectif de pirates qui semble être celui qu’on surnomme « APT10 » dans le monde de la sécurité IT. Plusieurs éléments – dont les heures de compilation de fichiers et d’enregistrement de noms de domaines – laisse supposer qu’il est basé en Chine*.

Les premières traces de ses activités remontent à fin 2009. Elles se concentraient alors sur la défense et les télécoms.

La cible s’est élargie à de nombreux autres secteurs de l’industrie, à l’appui d’un mode opératoire exploité notamment dans le cadre d’une opération baptisée « Cloud Hopper » : des attaques contre des prestataires de services de gestion informatique.

Ces prestataires ont généralement un accès direct et privilégié aux réseaux de leurs clients, avec des privilèges de niveau administrateur. APT10 en tire parti, plus particulièrement au travers des systèmes qui font l’interface (typiquement, ceux qui hébergent des identifiants de connexion).

msp-clients

Une fois infiltrés, les pirates repèrent les systèmes d’intérêt, mais en visent aussi de moins critiques afin d’assurer la persistance de leurs logiciels malveillants.

Les données à exfiltrer sont compressées en archives (RAR ou TAR) découpées en plusieurs fichiers et souvent dissimulées dans la corbeille. Elles sont ensuite déplacées sur l’infrastructure d’envergure mondiale dont APT10 a pris le contrôle.

Cloud Hopper pourrait avoir débuté dès 2014. Une demi-douzaine de pays ont été touchés en Europe. La France en fait partie.

Plusieurs noms de domaines exploités dans ce cadre partagent des plages d’adresses IP avec ceux impliqués dans une autre opération d’espionnage dirigée exclusivement contre des organisations japonaises. Le hameçonnage en a été le vecteur : les pirates se sont fait passer pour des organes publics tels que le Parti libéral-démocrate et le ministère des Affaires étrangères.

* Les données ciblées correspondent par ailleurs plus ou moins aux secteurs industriels stratégiques que Pékin avait définis dans son 13e plan quinquennal.

Crédit photo : mikemacmarketing via Visualhunt / CC BY


Lire la biographie de l´auteur  Masquer la biographie de l´auteur