Par : Tom Gorup & Andrew Johnson
Vous avez probablement remarqué que la fréquence des cyberattaques dans les gros titres a considérablement augmenté depuis le début de la guerre entre Israël et le Hamas. Nous avons assisté à une hausse dans tout, du détournement de site aux attaques DDoS en passant par l’exfiltration de données des hacktivistes du monde entier. Il n’y a pas eu de frontières ni de frontières qu’ils ne sont pas prêts à franchir.
Alors que des attaques plus notables sur des sites hautement publics comme le Jerusalem Post font les gros titres des journaux, une tendance intéressante que nous avons remarquée est celle des défactions de site un à plusieurs sur des cibles moins visibles. Ce que nous entendons par « un-à-plusieurs », ce sont des attaques ciblant une seule ressource pour compromettre de nombreux sites Web. Bon nombre des attaques que nous avons vues, qui prétendent être liées à des intérêts de conflit au moyen-Orient, se trouvent derrière des adresses IP uniques, ce qui nous a amenés à émettre l’hypothèse que beaucoup de ces acteurs de la menace (TA) obtiennent l’accès à une seule ressource vulnérable ou application qui leur permet de manipuler n’importe quel site situé derrière ce proxy ou sur ce serveur. La majorité des attaques que nous avons vues qui suivent ce modèle ont profité des fournisseurs d’hébergement. Nous considérons ces attaques opportunistes et par conséquent ne retirons personne de la liste des cibles potentielles, Internet est leur cible.
Au cours des deux dernières semaines, nous avons analysé les défactions de sites annoncées publiquement sur les forums de pirates, et ce que nous avons trouvé était un peu inattendu et certainement intéressant. Par exemple, sur les 4 069 attaques de détournement de site signalées par les hacktivistes au cours des deux dernières semaines, nous avons trouvé 3 480 domaines uniques ciblés, mais limités à seulement 1 426 adresses IP uniques. En allant plus loin, nous avons trouvé seulement environ 271 ASN (Autonomous System Numbers) uniques associés à la même liste de cibles.
Ces statistiques en disent long sur les types de cibles que ces hacktivistes poursuivent. Si vous vous demandez toujours si votre propre site est à risque… eh bien, il l’est! Vous pourriez penser que les sites moins fortement trafiqués sont trop petits pour être pris dans cette guerre, mais la réalité est que les attaquants saisissent toutes les occasions qu’ils peuvent obtenir pour poster leur drapeau sur le site de quelqu’un au nom de l’hacktivisme. Bien que nous ne puissions pas parler des motivations de chaque TA individuel, il est probable que la plupart ont un certain désir de gagner en crédibilité et de stimuler la fierté en affichant dans une salle pleine de personnes attendant de célébrer leurs succès. Passons en revue quelques exemples pour illustrer notre hypothèse.
Acteur de menace : SanRei
Dans cet exemple, regardons un TA qui va par le nom SanRei. Cette personne a ciblé 69 domaines uniques sur 23 adresses IP uniques et 15 ASN Soixante-douze pour cent des cibles de SanRei se trouvent dans l’ASN d’un seul fournisseur d’hébergement.
De plus, après avoir analysé neuf domaines, nous avons constaté que plusieurs des sites contenaient le même texte/copie, mais avec des graphiques, des mises en page et des thèmes différents. Les sites semblent certainement liés. Que l’AT ait créé et contrôlé les sites, dont ils se sont ensuite vantés et se sont vantés dans un canal Telegram, est difficile à prouver, mais c’est certainement une forte possibilité.
Des sites Web avec un contenu très similaire, hébergés sur la même adresse IP, ont plus tard prétendu avoir été abîmés par SanRai.
Acteur de menace : ./BRILLANT
Suivant en examinant le travail d’un agent de transfert qui porte le nom ./BRILLIANT, nous trouvons que cet individu ciblait 1 112 domaines uniques sur 229 adresses IP uniques et 61 ASN. Soixante-dix pour cent des domaines ciblés ./BRILLIANT se trouvent dans l’ASN de Universitas Gadjah Mada. Il semble probable que ./BRILLIANT ait trouvé une vulnérabilité dans une seule application qui héberge un certain nombre de blogs individuels sur *.web.ugm.AC.id.
À première vue, ./BRILLIANT semble avoir compromis plus de 700 sites Web, mais la réalité probable est qu’ils en ont éclaté un et ont exploité cet accès pour manipuler de nombreux blogs individuels. Tout à fait le compromis un-à-plusieurs réussi.
Acteur de menace : AnonCyber504_ID
Ces hacktivistes n’ont pas seulement ciblé de faux sites Web et blogs, les sites Web professionnels légitimes figurent également dans leur liste de cibles. L’acteur de menace AnonCyber504_ID a ciblé 60 domaines uniques sur 37 adresses IP uniques et 16 ASN Quarante-six pour cent des cibles d’AnonCyber504 se trouvent dans l’ASN d’un fournisseur d’hébergement, et beaucoup semblent appartenir à des entreprises légitimes.
Bien qu’aucun des sites altérés que nous avons examinés n’appartienne à une société Fortune 500, le fait est que les hacktivistes et autres agents de transfert semblent cibler des sites sans distinction, qu’ils soient grands ou petits, gouvernementaux ou privés.
Conclusion
Nous sommes sûrs que vous en avez entendu parler auparavant, mais que peut-on faire pour protéger leur site Web contre les attaques hacktivistes de un à plusieurs ?
Authentification multi-facteurs
êtes-vous fatigué de voir cela sur la liste des recommandations ? Il y a un dicton : « quand vous êtes fatigué de le dire, les gens commencent à l’entendre. » Dans ce cas, assurez-vous que le MFA est appliqué sur tous les comptes ayant accès à vos ressources Web et panneaux d’administration.
Protection des noeuds d’extrémité
nous savons que vous avez peut-être ce projet de déploiement de protection des noeuds d’extrémité qui s’est arrêté il y a six mois. Faites-le remonter, il est temps d’en faire une priorité. Cela peut grandement contribuer à réduire votre charge de travail en matière de sécurité à l’avenir.
Patch Management
Patching est une tâche ingrate et s’exécute pour toujours, mais elle est extrêmement nécessaire. Comment pensez-vous que ces attaques un à plusieurs se déroulent ? Prenez le temps de construire un bon programme, vous vous remercierez à long terme.
Protection des applications Web et API
Comme nous l’avons mentionné précédemment, l’application de correctifs est difficile, mais lorsque vous utilisez un bon pare-feu d’application Web (WAF), en particulier un pare-feu fourni dans le cloud avec protection DDoS intégrée, sécurité API et gestion des bots, vous serez en mesure de respirer plus facilement en sachant que vous pouvez rester protégé entre le moment où une vulnérabilité est découverte et le déploiement d’un correctif, avec des fonctionnalités comme le correctif virtuel.
Protégez tous vos sites
alors que la plupart des organisations matures ont mis en place un grand nombre de ces mesures de protection, les activités récentes menées par les hacktivistes soulignent l’importance de protéger tous vos actifs Web, pas seulement vos sites « joyau de la couronne ».
Éducation des utilisateurs
cette phrase crée tellement de nausées, mais nous pensons qu’elle est complètement sous-estimée. Cela ne nous surprendrait pas si la majorité de ces compromis un-à-plusieurs commençaient par une attaque de phishing. Prenez le temps de vous assurer que votre équipe comprend pourquoi tous ces contrôles de sécurité sont nécessaires. La clé ici est de s’assurer qu’elle est opportune, pertinente et engageante. Vous avez du mal à le rendre attrayant ? Communiquez avec nous ; notre équipe a une tonne d’idées pour vous aider.
Pour en savoir plus sur la solution primée WAAP (Web application and API protection) d’Edgio , contactez l’un de nos experts en sécurité dès aujourd’hui.