Comment la fuite d’informations d’identification d’un ancien employé a conduit à une compromission au sein du gouvernement d’un État américain

Le réseau d’un organisation d’État américaine a récemment été compromis via le compte administrateur d’un ancien employé. L’organisation elle-même n’est pas nommée, mais nous savons que l’acteur de la menace a réussi à s’authentifier sur un point d’accès interne du réseau privé virtuel (VPN) en utilisant les informations d’identification d’un ancien employé. De là, les pirates ont pu accéder à une machine virtuelle et se fondre dans le trafic légitime pour échapper à la détection, leur permettant ensuite d’accéder à un deuxième compte administrateur et à des données sensibles. 

Cet incident rappelle les risques associés à tous les comptes utilisateurs, y compris ceux qui appartenaient à d’anciens employés qui n’ont pas été correctement supprimés de l’Active Directory (AD). Un examen régulier et la suppression des comptes, logiciels et services qui ne sont plus nécessaires sont essentiels pour minimiser les vecteurs d’attaque potentiels.

Résumé de l’attaque

Qui était visé : un Département du gouvernement d’État des États-Unis (pour l’instant toujours anonyme)

Type d’attaque : Prise de contrôle de compte

Technique d’entrée : Utilisation d’informations d’identification volées pour accéder à une machine virtuelle via un VPN

Impact : Les données de l’hôte et des utilisateurs ont été publiées sur le dark web

Qui en est responsable ?: Attaquant inconnu

Comment l’attaque s’est-elle produite ?

La cyberattaque a commencé avec l’obtention par un acteur de la menace des informations d’identification d’un ancien employé ayant fait l’objet d’une fuite et se trouvant disponibles en ligne. Grâce à ce compte, l’auteur de la menace s’est authentifié avec succès auprès d’un point d’accès VPN interne. Une fois connecté au VPN, l’attaquant a eu accès à une machine virtuelle au sein du réseau. À partir de là, l’objectif de l’attaquant était de se fondre dans le trafic légitime et d’éviter d’être détecté.

La machine virtuelle compromise a permis à l’attaquant d’accéder à un autre ensemble d’informations d’identification stockées dans un serveur SharePoint virtualisé. Ces informations d’identification disposaient de privilèges administratifs à la fois sur le réseau sur site et sur l’Active Directory d’Azure (désormais appelé Entra ID). Grâce à ces informations d’identification supplémentaires, l’auteur de la menace a pu explorer l’environnement sur site de la victime et exécuter des requêtes LDAP (Lightweight Directory Access Protocol) contre un contrôleur de domaine. Aucun des comptes compromis n’avait activé l’authentification multifactorielle (MFA).

Les attaquants ont finalement eu accès à des informations sur les hôtes et les utilisateurs, qu’ils ont ensuite publiées sur le dark web espérant les vendre. En réponse à la fuite de données, l’organisation visée a pris plusieurs mesures pour atténuer les dommages. Les mots de passe de tous les utilisateurs ont été réinitialisés, le compte administrateur compromis a été désactivé et les privilèges élevés du second compte supprimés.

Darren James, chef de produit chez Specops, explique : « Il s’agit d’un exemple malheureux qui montre que même les administrateurs ne sont pas à l’abri de commettre les erreurs les plus élémentaires. Comme le souligne notre dernière étude sur les mots de passe piratés, de nombreux administrateurs se rendent encore coupables d’utiliser des mots de passe par défaut, de réutiliser des mots de passe sur plusieurs systèmes et de ne pas activer la MFA. En fait, le mot de passe administrateur le plus fréquent que nous avons trouvé dans nos listes de compromissions était « admin ».

Dans cet exemple, il semble qu’une fois le VPN compromis, il semble avoir été facile pour ces acteurs de la menace de se déplacer dans l’Active Directory interne ainsi que dans Entra ID. Nous ne pouvons qu’espérer que la réinitialisation forcée de tous les mots de passe (une nécessité si l’identifiant d’un administrateur de domaine est compromis) n’est qu’une première étape vers une meilleure sécurisation de leur environnement et qu’ils mettront en œuvre des politiques de mots de passe plus fortes, la MFA pour tous les utilisateurs, et les scans continus à la recherche de mots de passe compromis à l’avenir. »

L’analyse de Specops : Que pouvons-nous apprendre de ce piratage ?

1. Le pouvoir de la collaboration : La faille a été découverte et signalée par l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) en collaboration avec le centre multiétatique de partage et d’analyse de l’information (MS-ISAC). Cela souligne l’importance du partage de l’information et de la collaboration dans la lutte contre les incidents de cybersécurité.

2. Les attaquants n’ont besoin que d’un point d’ancrage : Le compte administrateur compromis avait accès à un serveur SharePoint virtualisé, ce qui a permis aux attaquants d’accéder à un autre ensemble d’informations d’identification avec des privilèges administratifs à la fois sur le réseau sur site et sur l’Active Directory Azure. Cela démontre la possibilité pour les attaquants d’exploiter les systèmes interconnectés et d’obtenir un accès plus large au sein de l’infrastructure d’une organisation.

3. La cybercriminalité reste lucrative : Les attaquants ont publié les informations consultées sur le dark web pour en tirer un bénéfice financier. Cela met en évidence la motivation la plus courante derrière les cyberattaques.

4. Disposer d’un plan d’intervention en cas d’incident : En réponse à la fuite de données, l’organisation a pris des mesures immédiates pour réinitialiser les mots de passe, désactiver les comptes compromis et supprimer les privilèges élevés. Même si davantage aurait pu être fait pour prévenir l’incident, cette approche souligne l’importance de la réponse aux incidents pour minimiser l’impact d’une cyber-attaque.

5. Mettre en œuvre la MFA : L’incident souligne la nécessité pour les organisations de mettre en œuvre la MFA pour tous les comptes, et pas seulement pour les comptes privilégiés. Toutefois, dans ce cas, même le compte privilégié n’était pas protégé par la MFA.

6. Sécurisez votre Active Directory : Cette compromission rappelle aux organisations qu’elles doivent régulièrement vérifier et supprimer de leurs réseaux les comptes, logiciels et services obsolètes. Cela les aidera à réduire le nombre de vecteurs d’attaque potentiels.

Débarrassez votre Active Directory des comptes périmés et des mots de passe frauduleux

Pouvez-vous être certain qu’il n’existe pas de comptes périmés ou inactifs dans votre Active Directory ? Un audit constitue un point de départ idéal pour nettoyer votre Active Directory en fournissant un aperçu de vos comptes d’utilisateurs et des vulnérabilités liées aux mots de passe. Vous pouvez effectuer un audit en lecture seule dès aujourd’hui avec notre outil gratuit : Specops Password Auditor. Vous obtiendrez un rapport interactif répertoriant les comptes d’utilisateurs inactifs, les comptes d’administrateurs périmés, etc.

Cette attaque met également en évidence l’importance de pouvoir scanner votre Active Directory en continu afin de détecter les comptes dont les mots de passe ont été compromis. Specops Password Policy avec Breached Password Protection effectue des vérifications quotidiennes de votre Active Directory par rapport à notre liste de plus de 4 milliards de mots de passe compromis connus. Il comprend des mots de passe provenant de fuites connues, notre système de surveillance des attaques en temps réel qui surveille les attaques par force brute en direct, ainsi que des données sur les logiciels malveillants volés par notre équipe de renseignements sur les menaces dirigée par des humains.

Vous souhaitez améliorer votre sécurité d’accès ? Contactez un expert Specops dès aujourd’hui.