Cyberguerre : comment Cymmetria a piégé les équipes offensives de l’OTAN

L’éditeur a participé à un exercice impliquant les experts de l’intrusion informatique de l’organisation. L’occasion pour sa solution de montrer son efficacité, mais également des faiblesses qui ont pu ainsi être corrigées.

Cymmetra fait partie de ces jeunes pousses qui cherchent à leurrer les attaquants afin de les débusquer au de l’infrastructure compromise, à l’instar d’Illusive Networks ou encore de TrapX.

Récemment, ses équipes ont été invitées à participer à l’exercice annuel organisé à Tallinn, en Estonie, par l’Otan, dans son centre d’excellence pour la coopération en matière de cyberdéfense. Celui regroupe des spécialistes de l’intrusion informatique des pays membres de l’organisation. Une équipe de supervision est là pour leur indiquer, ensuite, où ils se sont faits repérer dans leur progression au sein de l’infrastructure cible.

Cymmetria a été autorisé à déployer tous les leurres possibles au sein de cette infrastructure, avec son outils MazeRunner. Dans un billet de blog, l’éditeur indique que des pots de miel classiques étaient également présents, « en nombre égal ». Et de préciser que les attaquants étaient informés de cette situation, « puisque le but de l’exercice était de les aider à s’améliorer ».

L’intrusion a commencé par la compromission d’un serveur présentant une vulnérabilité connue. Des attaques par hameçonnage ciblé ont permis de prendre la main sur deux autres points de terminaison. De là, les attaquants ont cherché à se déplacer dans l’infrastructure. Ils sont tombés dans un piège tendu avec MazeRunner : un faux serveur de bases de données. « Sur le leurre compromis, ils ont trouvé des identifiants menant à une base de données MySQL s’exécutant sur un autre leurre ».

De là, les attaquants ont poursuivi leur cheminement dans l’infrastructure de leurre. Bingo ? Non. « Contre toute attente, nous leurres ont cessé de communiquer avec le serveur d’administration », raconte Cymmetria : « les attaquants empoisonnaient l’environnement en s’appuyant sur le protocole ARP [qui permet de faire le lien entre adresses IP et adresses physiques des interfaces réseau, NDLR] de manière si agressive que le trafic SSL était impossible pour certaines connexions ».

Les tables ARP ont alors été verrouillées pour rétablir les communications. Mais les attaquants ne manquaient pas de ressources : répliquant les bases de données DNS entre serveurs, ils ont réussi à cartographier l’intégralité de l’infrastructure au-delà du seul environnement de leurre. Plus loin, ils sont parvenus à mettre la main sur le contrôleur de domaine. De quoi accéder aux clés du royaume : « l’ensemble du réseau est tombé comme un château de cartes ».

Mais Cymmetria relève un point : si les attaquants ont réussi à identifier des pots de miel classiques au sein de l’infrastructure, « aucun leurre de MazeRunner n’a été marqué [comme un piège] au cours de l’exercice ». Et ceux-ci ont tout de même permis de détecter leur présence. Mais pas uniquement.

Les leurres ont également permis de mettre le doigt sur une « erreur opérationnelle » des attaquants : « régulièrement, ils utilisaient un point de terminaison compromis pour vérifier qu’ils étaient capables de se connecter à une machine, mais utilisaient ensuite leur propre machine » pour établir cette connexion. De quoi collecter de l’information sur les terminaux utilisés par les attaquants. Ces derniers ont en outre consacré d’importants efforts à tenter de prendre le contrôle du serveur de bases de données leurre : de quoi collecter, côté défenseurs, la liste complète des identifiants compromis.

Mais les attaquants ont réussi à identifier un actif de Cymmetria, en s’appuyant sur un certificat exposé sur le service HTTPS utilisé pour le dialogue avec leurres et serveur d’administration. Mais il ne s’agissait pas d’un leurre : il s’agissait du serveur d’administration, installé dans une zone réseau spécifique. L’éditeur a retenu la leçon : « nous avons ajouté la possibilité d’utiliser un certificat personnalisé ou de changer son émetteur, afin de rendre plus difficile son identification ». 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close