Alerte - Campagne d’attaques par déni de service distribué ciblant de multiples secteurs canadiens

Auditoire

La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d'information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 13 septembre 2023, le Centre pour la cybersécurité a été mis au courant de plusieurs campagnes d'attaques par déni de service distribué (DDoS pour Distributed Denial of Service) ciblant de multiples niveaux du gouvernement du Canada, ainsi que les secteurs des finances et des transports, et a pris des mesures d'intervention à cet égard.

La présente alerte est publiée pour accroître la sensibilisation à ces campagnes, mettre en lumière les possibles répercussions qu'elles pourraient avoir sur les services gouvernementaux et fournir des conseils aux organisations susceptibles d'être ciblées par ces activités malveillantes. Les rapports de source ouverte associent certaines de ces activités à des auteures et auteurs de cybermenace parrainés par la Russie dont les tactiques, les techniques et les procédures ont été largement documentées ^{Note de bas de page 1}, ^{Note de bas de page 2}. En juillet 2022, le Centre pour la cybersécurité estimait que les auteures et auteurs de cybermenace parrainés par la Russie poursuivraient sans doute leurs activités malveillantes pour appuyer les objectifs tactiques et stratégiques des forces militaires russes en Ukraine ^{Note de bas de page 3}. Le 24 février 2023, le Centre pour la cybersécurité a signalé une activité similaire dans le cadre de laquelle des campagnes d'attaques par DDoS étaient menées contre des nations alliées de l'Ukraine ^{Note de bas de page 4}.

Le rapport de source ouverte indique que des auteures et auteurs de menace utilisent des outils de déni de service pour harceler des organisations ^{Note de bas de page 5}. Pour ce faire, ils ont recours à un ensemble de systèmes fonctionnant sous forme de réseau zombie pour empêcher le serveur Web ciblé de fournir des services. Cette dégradation de services est alors médiatisée par les auteures et auteurs de menace. Dans la plupart des cas, ces activités visant à causer du tort peuvent être gérées au moyen de solutions locales. Il convient toutefois de faire appel à des solutions de DDoS de tierces parties pour atténuer les activités malveillantes plus importantes et plus ciblées. Il est généralement possible de rétablir le bon fonctionnement des sites Web une fois que les auteures et auteurs ont cessé leurs activités malveillantes.

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes :

• Vérifier les systèmes périphériques afin de déterminer si des activités connexes se sont produites;
• Passer en revue et mettre en place les mesures préventives énumérées dans la publication du Centre pour la cybersécurité sur la protection des organisations contre les attaques par déni de service ^{Note de bas de page 6}.
• Passer en revue les bulletins publiés par la Cybersecurity and Infrastructure Security Agency (CISA) à l'intention des agences américaines pour de l'aide sur le DDoS, dont des recommandations sur les mesures d'atténuation techniques à mettre en place pour répondre aux activités de DDOS.^{Note de bas de page 7}

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TI^{Note de bas de page 8} , du Centre pour la cybersécurité en particulier celles liées aux sujets suivants :

• Intégrer, surveiller et défendre les passerelles Internet;
• Isoler les applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.