AlertesCampagne d’attaques par force brute menée par des auteurs de MPA (partenaires internationaux)

Numéro : AL21-012
Date : 2 juillet 2021

AUDITOIRE

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

OBJET

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

VUE D’ENSEMBLE

La National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA), le National Cyber Security Centre (NCSC) du Royaume-Uni et le Federal Bureau of Investigation (FBI) ont publié un bulletin de sécurité conjoint [1] expliquant comment des auteurs de menaces persistantes avancées (MPA) ont mené des attaques par force brute à l'échelle mondiale en vue de compromettre des environnements infonuagiques et d'entreprise.

ÉVALUATION

Le 1er juillet 2021, la NSA, la CISA, le NCSC et le FBI ont publié un bulletin de cybersécurité conjoint [1] visant à souligner une campagne active pour obtenir l'accès aux environnements infonuagiques et d'entreprise des cibles des secteurs privé et public.

La campagne tire parti de techniques de force brute pour effectuer des tentatives d’accès contre les organisations ciblées. À l’obtention des justificatifs d’identité, la MPA exploite diverses autres vulnérabilités connues pour obtenir un accès supplémentaire et se déplacer latéralement dans le réseau ciblé [2]. Le bulletin conjoint énonce que les justificatifs d’identité servent à de nombreuses activités malveillantes.

Le bulletin de cybersécurité souligne que les vulnérabilités suivantes sont exploitées une fois les justificatifs d’identité obtenus, toutefois, d’autres vulnérabilités ou techniques connues du public peuvent être utilisées :

  • CVE 2020-0688 Microsoft Exchange [3];
  • CVE 2020-17144 Microsoft Exchange [4].

Le Centre pour la cybersécurité souhaite attirer l’attention sur ce bulletin, car il fournit de l’information importante aux exploitants et aux propriétaires de systèmes qui sont responsables de défendre leurs systèmes et leurs réseaux contre les cybermenaces.

Des mises à jour logicielles et des mesures d’atténuation sont décrites ci-dessus pour ces vulnérabilités. Consultez les publications passées du Centre pour la cybersécurité et de ses partenaires pour avoir plus de détails.

On invite les destinataires à signaler les incidents par l’entremise de Mon cyberportail (https://cyber.gc.ca/fr/cyberincidents) ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788) s’ils relèvent des activités similaires à ce qui est présenté dans la présente alerte.

RÉFÉRENCES

[1] APT Actors Conducting Global Brute Force Campaign to Compromise Enterprise and Cloud Environments (NSA/CISA/NCSC/FBI)
https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/1/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF (en anglais seulement)

[2] NSA-CISA-NCSC-FBI Joint Cybersecurity Advisory on APT Brute Force Campaign
https://us-cert.cisa.gov/ncas/current-activity/2021/07/01/nsa-cisa-ncsc-fbi-joint-cybersecurity-advisory-russian-gru-brute (en anglais seulement)

[3] Vulnérabilité d’exécution de code à distance liée aux clés de validation
https://www.cyber.gc.ca/fr/avis/vulnerabilite-dexecution-de-code-distance-liee-aux-cles-de-validation

[4] Bulletin de sécurité Microsoft – Correctif cumulatif mensuel de décembre 2020
https://www.cyber.gc.ca/fr/avis/bulletin-de-securite-microsoft-correctif-cumulatif-mensuel-de-decembre-2020

NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

 

Dernière mise à jour: