Secu
Une surface d’attaque qui s’élargit : les nouveaux risques cyber liés aux périphériques
Par La rédaction, publié le 26 septembre 2024
La menace croissante que représente l’exploitation des périphériques exige un recalibrage des stratégies de sécurité. Toute entreprise se doit de renforcer son infrastructure de cybersécurité pour gérer la surface d’attaque étendue que constitue les périphériques et dispositifs IoT.
De Xavier Duros, expert en cybersécurité chez Check Point
Les périphériques sont des dispositifs que l’on peut brancher à un ordinateur hôte ou à un dispositif mobile. Ils servent à accroître les capacités et à améliorer l’expérience des utilisateurs. Malgré les avantages qu’ils procurent, les périphériques peuvent également représenter un moyen de compromission des réseaux, systèmes et informations de toute organisation.
Pourquoi faire des périphériques une cible prioritaire ?
Car si les dispositifs IoT facilitent la vie des entreprises, la connexion des appareils IoT au réseau étend la surface d’attaque, ce qui offre davantage de points d’entrée aux cybercriminels.
Souvent sous-priorisés dans les stratégies de sécurité, les dispositifs sont depuis longtemps exploités par les cybercriminels pour créer des réseaux de machines zombies en vue d’attaques DDoS et pour orchestrer des campagnes de spam. Raspberry Robin par exemple est un malware polyvalent se propageant via des périphériques USB infectés avec des propriétés de ver informatique.
Selon une tendance constante qui a atteint son apogée cette année, les périphériques sont devenus la cible de l’industrie.
En 2024, ce type de dispositifs est devenu la cible de groupes APT d’États-nations et d’acteurs malveillants qui les utilisent soit dans le cadre d’une exfiltration sophistiquée de données ou comme points d’entrée pour pénétrer les systèmes de réseaux plus vastes.
Au départ ciblé par des acteurs étatiques utilisant des exploits coûteux de type “zero-day” et des logiciels malveillants sur mesure, cette stratégie a depuis été adoptée par des groupes financiers sophistiqués qui exploitent les mauvaises configurations et les vulnérabilités connues des systèmes non mis à jour pour lancer des attaques par ransomware.
Les périphériques ne sont pas seulement destinés à être utilisés en tant que composants de l’infrastructure de communication mais bien comme points d’entrée initiaux dans les réseaux.
Il convient par conséquent de mettre en œuvre des stratégies de sécurité pour prévenir les cyberattaques IoT comme le phishing, les ransomwares et le cryptomining.
Dans les grandes lignes il faut surtout penser à identifier les risques liés à la sécurité de l’IoT dans les réseaux informatiques ; créer des politiques pour sécuriser rapidement les dispositifs IoT ; et prévenir les attaques au niveau du réseau et des périphériques.
Pour reprendre la liste, trop nombreuses d’attaques ciblant à la base des périphériques, nous pouvons citer les groupes de ransomware à motivation financière qui s’attaquent également aux appareils périphériques. CACTUS, Akira, et LockBit exploitent en effet des dispositifs VPN mal configurés ou vulnérables dans leurs attaques.
Qui est à l’origine des attaques visant les périphériques
Contrairement à ce que l’on peut lire ça et là, les dispositifs périphériques ne sont pas exploités exclusivement par des acteurs chinois. Les APT affiliés au renseignement militaire russe ont largement utilisé cette stratégie notamment contre des cibles ukrainiennes dans le cadre du conflit en cours. Depuis le début de la guerre russo-ukrainienne, un déluge de cyber-attaques a considérablement endommagé les secteurs de l’énergie, des médias, des télécommunications et des finances de l’Ukraine, ainsi que des agences gouvernementales. L’intensité et le volume de ces attaques ont été facilités par la compromission de certains dispositifs périphériques, ce qui a permis de maintenir un accès permanent aux réseaux ciblés et de mener de multiples attaques au fil du temps.
Le groupe APT28, lié à la Russie, a quant à lui été observé en train de déployer le logiciel malveillant JaguarTooth, spécialement conçu pour exploiter les vulnérabilités dans les routeurs CISCO IOS, qui, bien que signalées en 2017, n’ont toujours pas été corrigées.
Un type d’attaque, d’abord à la marge, devenu dangereux
Auparavant, ciblés par les botnets de type Mirai dans le but de créer des spam et autres attaques DDoS, les périphériques sont désormais exploités par des acteurs plus sophistiqués dans le cadre d’attaques précises. Ils sont aujourd’hui utilisés comme infrastructure de communication pour d’autres campagnes, comme points d’accès initiaux ou pour perturber leurs réseaux d’origine. Ce qui était à l’origine une méthode sophistiquée, pratiquée par des acteurs étatiques pour obtenir un accès furtif, a ensuite été adoptée par des attaquants aux motivations financières utilisant des boîtes à outils existantes. Ce ciblage des équipements périphériques s’est avéré efficace pour pénétrer dans des cibles de premier plan tout en évitant d’être détectés pendant de longues périodes.
En l’absence de correctifs en temps voulu, de systèmes de surveillance et de détection, en particulier pour les dispositifs périphériques, les dispositifs connectés au réseau et en accès public restent un énorme angle mort. À mesure que le paysage des menaces évolue, les solutions de sécurité et les capacités de sécurité et de surveillance doivent s’affiner de plus en plus, car la surface d’attaque s’agrandit et le risque est présent à tous les niveaux.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
