Cyber Watch Report – Juillet 2018 : Attaque bancaire, failles dans l’IoT et fuite de données de santé

Co-écrit par Florian Boudot et Charles Le Reun.

 

Alors que la France est (presque toute) en vacances, les fuites de données et attaques en tout genre ne faiblissent pas !

Ce mois-ci des problèmes de mises à jour, de nouvelles attaques à base d’IoT et des fuites de données.

MoneyTaker

Il aura fallu au groupe MoneyTaker cinq semaines de présence dans le SI de la banque russe PIR pour réussir leur coup. Le résultat, presque 1 million de dollars subtilisés, s’accumulant aux quelques 14 millions de dollars déjà dérobés lors de précédents hold-up numériques. Les attaquants ont été en mesure d’effectuer plusieurs transferts d’argent vers des comptes préalablement créés. Heureusement, les reverse shells* laissés par les attaquants ont été trouvés et détruits.

Ce qui est important ici est le point d’entrée des attaquants. En effet, le groupe a utilisé une de leurs techniques caractéristiques : compromettre un routeur afin de pouvoir gagner un accès direct au réseau d’entreprise. Ce routeur, utilisé par une des branches de la banque, évoluait sur une version de système d’exploitation qui n’était plus supporté depuis maintenant deux ans.

Cela montre encore une fois les difficultés auxquelles les entreprises peuvent être confrontées, à savoir maintenir son parc informatique à jour mais aussi contrôler les équipements tiers raccordés à leurs infrastructures.

IoT et les attaques par rebinding DNS

Vous vous souvenez peut être des attaques DDOS ayant été lancées contre des entreprises lors des derniers mois (DynDNS, OVH, GitHub…). Il est également possible d’effectuer d’autres types d’attaques grâce à ces équipements.

La société de cybersécurité Armis (auteur de la découverte de la vulnérabilité Bluetooth l’an dernier, dont nous parlions sur ce blog) estime en effet le nombre de périphériques IoT vulnérables aux attaques de rebinding DNS à plus de 500 millions.

Une attaque de rebinding DNS consiste à tromper le navigateur de la victime et à l’obliger à se connecter à un server DNS contrôlé par les attaquants. Cela leur permet ensuite d’accéder à des machines internes au réseau de la victime et qui étaient jusqu’ici inaccessibles depuis l’extérieur.

Cela est impactant pour les particuliers, mais le plus dangereux reste le niveau d’exposition des entreprises face à ce problème. La quasi-totalité des équipements IoT sont vulnérables à ce type d’attaque (Smart TV, routeurs, imprimantes, caméras de surveillance…), et il est peu probable voire inimaginable que la totalité des constructeurs déploient des mises à jour afin de corriger ces vulnérabilités.

Afin de pouvoir repérer rapidement ce type d’attaque, la mise en place de systèmes de surveillance du réseau est indispensable.

Un quart de la population de Singapour impacté par une fuite de données personnelles

En juin dernier, SingHealth, le plus grand Groupe médical de la Cité-État insulaire a subi l’une des plus importantes cyberattaque ayant touché Singapour jusqu’à présent. En effet, près de 25% de ses 6 millions d’habitants ont été concernés par une fuite de données personnelles.

Ces données personnelles non médicales de patients qui ont visité les cliniques externes spécialisées et les polycliniques de SingHealth entre le 1er mai 2015 et le 4 juillet 2018 ont été consultées et copiées. Les données volées comprenaient le nom du patient, son numéro d’identification national, son adresse, son sexe, ses origines et sa date de naissance. En outre, les données médicales de quelque 160 000 patients ont été compromises, mais les dossiers n’ont pas été modifiés ou supprimés.

Ces données pourraient être retrouvées à la vente sur le Dark Web dans les prochains mois et peuvent atteindre un prix élevé ; chaque entrée pourrait être vendue entre 50 à 100 dollars de plus que les données de cartes de crédit volées. En moyenne, ce genre de dossier de santé perdu ou volé pourrait rapporter 400 dollars.

Même si l’attaque a été détectée et stoppée le 4 juillet par l’agence technologique du secteur de la santé publique (IHiS), les 6 jours d’investigation qui ont suivi ont permis d’affirmer que, le processus d’exfiltration des données étaient déjà lancé depuis plus d’une semaine et que l’attaque était « délibérée, ciblée et bien planifiée ». Les agresseurs ont en effet ciblé de manière spécifique et répétée les données personnelles du Premier ministre Lee Hsien Loong et les informations sur ses médicaments dispensés en ambulatoire.

Quant à l’origine de la fuite de données, elle est une nouvelle fois due à la prise de contrôle d’une machine connectée sur internet. Une fois compromise, et les accès à haut privilèges obtenus, les cyberattaquants ont pu avoir accès à la base de données de SingHealth.

Nos recommandations du mois

  • Comme d’habitude, mais on ne le répètera jamais assez, PATCHER !
  • Mettre en place un contrôle permanent associé à une gestion des menaces (SOC/SIEM)

Bonus

British Airways a montré une interprétation douteuse du GDPR sur les réseaux sociaux le mois dernier.

 

*Reverse shell : Technique permettant rediriger un shell (une invite de commandes pour faire simple) vers la machine de l’attaquant, lui permettant alors d’interagir directement avec le système de la machine victime.