Loading...

Comment les petites entreprises ne sont pas à l'abri des cybermenaces sophistiquées.

Nicolas | 10 minutes | Case Study
Nick

Nicolas

CEO, Security Engineer

Engagement

Nous avons été contactés par Alain, directeur informatique d'une entreprise de construction locale. Il nous a sollicité suite à un éventuel incident de sécurité. Il a indiqué que son équipe manquait de compétences et de ressources pour déterminer l'étendue de la faille supposée.

Le client craignait principalement d'éventuels dommages aux systèmes d'exploitation des postes de travail, l'interruption de leurs opérations et la fuite de données confidentielles, telles que des plans ou des devis.

Collecte d'informations

Nous avons dépêché deux analystes pour effectuer une évaluation préliminaire sur site et un entretien avec le PDG et le responsable informatique. Au cours de cet entretien, nous avons tenté de reconstituer la chronologie de l'incident. Tout a apparemment commencé lorsque le PDG a reçu et ouvert un e-mail semblant provenir d'un prestataire de longue date.

Le PDG a constaté que, malgré l'apparence atypique de l'e-mail, l'identité de l'expéditeur était légitime. Une affirmation que nous avons techniquement confirmée: l'e-mail provenait du système de messagerie du fournisseur avec une signature DKIM valide. L'email mentionnait une facture nécessitant un examen rapide. Cette dernière était incluse dans une archive ZIP. Les filtres de sécurité de l'entreprise ainsi que l'antivirus du poste de travail du PDG n'ont détecté aucune menace.

À l'ouverture du document, l'affichage a échoué, et l'application de lecture PDF à bloqué. Le fichier a ensuite été transmis à une secrétaire, qui a rencontré les mêmes problèmes techniques. À ce stade, l'incident a été attribué à une corruption de fichier plutôt qu'à une activité malveillante.

L'intrigue s'épaissit lorsque le PDG et sa secrétaire appele le préstataire pour en savoir plus sur la facture. Ce dernier confirme n'avoir envoyé aucun courriel de ce type, révélant ainsi qu'il s'agissait d'une cyberattaque.

Enquête technique et conclusions

Suite au rapport initial, nous avons immédiatement conseillé au client d'isoler le poste de travail du PDG afin de contenir la menace potentielle. Notre analyse forensique ultérieure a révélé une compromission en plusieurs étapes :

  • Le fichier PDF contenait une charge utile malveillante agissant comme un injecteur de première étape.
  • Ce dernier a réussi à établir une connexion avec un serveur de commande et de contrôle (C2) à travers le réseau Tor afin de télécharger et d'exécuter une charge utile de deuxième étape.
  • Le logiciel malveillant a atteint sa persistance en s'écrivant à plusieurs emplacements du système d'exploitation.

Une analyse plus approfondie du code du logiciel malveillant a révélé ses capacités sophistiquées :

  • Exfiltration de données: Le programme était conçu pour identifier et exfiltrer des documents d'entreprise sensibles à l'aide d'expressions régulières complexes.
  • Ciblage financier: Il comportait des fonctionnalités permettant de détecter et de surveiller la navigation sur les principaux sites e-banking suisses.
  • Communication C2: Le logiciel malveillant maintenait des canaux de communication robustes avec son serveur C2 pour recevoir des commandes, télécharger des données volées et potentiellement mettre à jour son propre code pour de nouvelles fonctionnalités.

Évaluation initiale et sensibilisation du client

Nous avons fourni au client un rapport complet sur l'évaluation initiale de son infrastructure informatique, complété par un bref test d'intrusion. Cet exercice a démontré la facilité avec laquelle un acteur malveillant pouvait pénétrer et se déplacer latéralement dans son réseau sans être détecté.

Ces premiers résultats ont constitué un signal d'alarme crucial pour la direction et l'équipe informatique. Il est à noter que la faille s'est produite sans déclencher d'alerte depuis la plateforme de détection et de réponse (EDR) de l'entreprise, ce qui représentait un investissement important. Cet incident a mis en évidence l'écart crucial entre l'achat d'outils de sécurité et une configuration et une conception efficaces pour se défendre contre les cyber-menaces modernes.

Vers un réseau sécurisé

Suite à cette mission préliminaire, le client nous a confié la refonte de son infrastructure informatique, incluant le réseau, les postes de travail et une partie des services tels que le stockage des données et l'identification des utilisateurs.

Continue reading...

Related articles