Cyberattaque contre le département du Trésor : Analyses de BeyondTrust 

TL; DR 

• Le département du Trésor américain a été ciblé en décembre 2024 par une cyberattaque attribuée à un groupe Advanced Persistent Threat (APT) parrainé par l'État chinois. 

• Des pirates informatiques ont exploité des vulnérabilités d'injection de commandes (CVE-2024-12356 et CVE-2024-12686) dans le logiciel d'assistance à distance du fournisseur tiers BeyondTrust. 

• Les attaquants ont obtenu un accès à distance non autorisé aux postes de travail du Trésor, récupérant des documents non classifiés. 

• Le logiciel de BeyondTrust a servi de point d’entrée, mais les systèmes du Trésor étaient au centre des préoccupations. 

• Tout comme les terminaux et le cloud, vous devez protéger votre infrastructure d'identité. Augmentez votre sécurité d'identité et prévenez des incidents comme celui-ci grâce à une gestion des accès basée sur les risques et à une sécurité d'accès privilégié renforcée. 

***

En décembre 2024, le département du Trésor américain a été victime d’une cyberattaque sophistiquée orchestrée par un groupe APT soutenu par l’État chinois. Ces groupes sont connus pour cibler des entités gouvernementales, des infrastructures critiques et des organisations du secteur privé pour voler de la propriété intellectuelle et mener des activités d’espionnage. 

Point d'entrée : logiciel d'assistance à distance vulnérable 

Les attaquants ont exploité deux vulnérabilités d'injection de commandes (CVE-2024-12356 et CVE-2024-12686) dans le logiciel d'assistance à distance de BeyondTrust. Ce logiciel est couramment utilisé pour l'accès à distance et l'assistance informatique, ce qui en fait une cible de grande valeur. Les attaquants ont utilisé ces vulnérabilités pour contourner protocoles d'authentification, exécuter des commandes non autorisées et prendre le contrôle des systèmes connectés. À l'aide d'une clé API volée, les pirates ont accédé aux postes de travail du Trésor, récupéré des documents non classifiés et potentiellement sondé d'autres parties du réseau. 

Les tactiques pointent vers le groupe APT parrainé par l'État chinois 

L'attaque a été attribuée à un groupe APT sponsorisé par l'État chinois, dont le nom n'a pas été dévoilé, bien que la Chine nie toute implication. Les groupes APT chinois ont pour habitude de : 

• Exploiter les vulnérabilités des logiciels pour un accès persistant 
• mener des campagnes d’espionnage contre les secteurs gouvernemental et de la défense  
• ciblant la propriété intellectuelle de secteurs tels que la technologie et l’énergie. 

Cette violation s’inscrit dans la lignée des tactiques précédentes employées par les groupes APT parrainés par l’État chinois pour exploiter les vulnérabilités de tiers et les exploiter pour une infiltration plus large du réseau. 

Impact et leçons apprises 

La violation s'est limitée aux systèmes non classifiés du Trésor, sans aucune preuve d'exposition de données classifiées. Cependant, elle souligne l'importance de réduire votre attaque d'identité surface avec une stratégie de défense en profondeur qui superpose des contrôles de sécurité éprouvés sur des logiciels tiers ; par exemple, MFA ou sécurité d'accès privilégié automatisée. Cela vous aidera à traiter rapidement les vulnérabilités tout en plaçant plusieurs lignes de défense autour de vos accès privilégiés et de vos identités.  

Si vous évaluez votre vulnérabilité à cette attaque et aux tactiques connues du groupe APT, voici quelques mesures que vous pouvez prendre :  

• Transition vers une gestion des accès basée sur les risques et une sécurité d’accès privilégiée (PAS) renforcée. 

• Ajoutez une couche PAS à votre PAM (Privileged Access Management (PAM)) pratique auprès de différents fournisseurs.  

• Effectuez régulièrement des évaluations de vulnérabilité et corrigez toujours rapidement les vulnérabilités/exigences de correction dans les logiciels tiers. 

• Mettre en œuvre une architecture de confiance zéro et authentification multi-facteur. 

• Surveillez en permanence les menaces et les anomalies autour des identités privilégiées ; en d’autres termes, assurez-vous que votre SOC ou MDR augmente le niveau de sensibilité autour des identités privilégiées et dispose de toutes les données et de tous les contrôles nécessaires pour arrêter rapidement les prises de contrôle.  

Cet incident constitue un rappel crucial des risques posés par les vulnérabilités de la chaîne d’approvisionnement et de la nécessité de mesures proactives de cybersécurité. Démo en visio pour découvrir comment augmenter la sécurité de votre identité et prévenir des incidents comme celui-ci.