Découvrez les menaces critiques qui peuvent avoir un impact sur votre organisation et les mauvais acteurs derrière elles grâce aux experts en menaces de Cybersixgill. Chaque histoire met en lumière les activités clandestines, les acteurs de la menace impliqués et les raisons pour lesquelles vous devriez vous en soucier, ainsi que ce que vous pouvez faire pour atténuer les risques.
Dans un monde de plus en plus interconnecté, attaques de la chaîne d’approvisionnement sont apparues comme une menace redoutable, compromettant non seulement les organisations individuelles mais aussi l’écosystème numérique dans son ensemble. Le réseau d’interdépendances entre les entreprises, en particulier pour les fournisseurs de logiciels et d’informatique, offre un terrain fertile aux cybercriminels pour exploiter les vulnérabilités. En ciblant un maillon faible de la chaîne d’approvisionnement, les acteurs malveillants peuvent obtenir un accès non autorisé à des informations sensibles et mener des activités malveillantes avec de graves conséquences sur plusieurs organisations, allant de violations de données et de pertes financières à des perturbations généralisées et à des atteintes à la réputation.
Comprendre la nature, l’impact et les stratégies d’atténuation des attaques de la chaîne d’approvisionnement est essentiel pour renforcer les défenses de cybersécurité et garantir la sécurité et la résilience de l’ensemble de l’écosystème tiers.
Le risque croissant d’attaques sur la chaîne d’approvisionnement
Les attaques de la chaîne d’approvisionnement ciblent les réseaux, les systèmes et les processus des fournisseurs tiers d’une organisation, permettant à des acteurs malveillants d’infiltrer et de compromettre l’infrastructure de la victime ultime. Une fois « à l’intérieur » d’un système, les acteurs malveillants peuvent injecter du code malveillant, voler des informations sensibles ou perturber les opérations, provoquant des effets en cascade tout au long de la chaîne d’approvisionnement. Une violation d’une organisation, ou d’un maillon de la chaîne d’approvisionnement, peut avoir des conséquences considérables et compromettre la sécurité de nombreuses entités. Sachant cela, les attaquants ciblent de plus en plus la chaîne d’approvisionnement pour prendre pied et pénétrer les systèmes des organisations.
Selon une étude de Capterra, 61 % des entreprises américaines ont été directement touchées par une attaque de la chaîne d’approvisionnement logicielle au cours des 12 mois précédant avril 2023. Nos propres recherches indiquent que le nombre de messages clandestins de cybercriminels annonçant l’accès aux réseaux de fournisseurs de services (y compris informatiques) services, services cloud, solutions RH et autres services) n’a cessé d’augmenter au cours des dernières années. En 2023, il y a eu environ 245 000 attaques contre la chaîne d’approvisionnement logicielle, coûtant aux entreprises 46 milliards de dollars. Ce montant devrait atteindre 60 milliards de dollars d’ici 2025, car les acteurs malveillants cherchent de plus en plus à exploiter les fournisseurs de services, leurs clients et les tiers affiliés.
Objectifs et motivations de l’attaquant
Les motivations derrière ces attaques sont diverses. L’objectif principal est l’accès non autorisé à des systèmes ou réseaux spécifiques, qui sont plus faciles à infiltrer en ciblant la chaîne d’approvisionnement. Ces attaques permettent également aux auteurs de menaces d’obtenir de meilleurs résultats, car elles peuvent avoir un impact sur la propriété intellectuelle, les données financières, les informations client et d’autres données confidentielles de plusieurs organisations, qui peuvent être exploitées à des fins de gain financier ou utilisées pour un avantage concurrentiel.
Si le gain financier constitue une motivation essentielle pour de nombreux cybercriminels, leurs objectifs peuvent également inclure le cyberespionnage, des agendas politiques ou le vol de secrets commerciaux et de propriété intellectuelle. Les acteurs parrainés par l’État peuvent chercher à accéder à des informations classifiées ou à des secrets de sécurité nationale, tandis que les industries compétitives peuvent être confrontées à des menaces ciblant la recherche et les inventions exclusives.
Techniques d’infiltration
Les attaquants utilisent diverses méthodes pour lancer des attaques sur la chaîne d’approvisionnement, comme décrit ci-dessous.
Comptes compromis
Les acteurs malveillants exploitent souvent les informations d’identification de fournisseurs de confiance pour accéder aux systèmes interconnectés des organisations cibles, tirant parti de la confiance établie pour contourner les mesures de sécurité traditionnelles. Ces informations d’identification peuvent être acquises via diverses techniques ou achetées sur des forums du Dark Web. Par exemple, Cybersixgill a observé une publication dans laquelle un acteur malveillant vendait l’accès aux réseaux d’un important fournisseur de cloud chinois, affectant des clients comme Ferrari et Audi.
De telles violations peuvent conduire au vol de données, à la fraude, à la propagation de logiciels malveillants et à des attaques de ransomwares. De plus, les fournisseurs compromis peuvent livrer des logiciels manipulés à leurs clients, ce qui entraîne des atteintes à leur réputation, des pertes financières, des problèmes juridiques et des perturbations opérationnelles.
Injection de logiciels malveillants
Les attaquants injectent également du code malveillant ou des logiciels malveillants dans des composants légitimes pour provoquer une chaîne d’infection généralisée. Par exemple, en avril 2024, une porte dérobée a été découverte dans l’utilitaire de compression de données XZ Utils, qui a permis aux attaquants d’obtenir un accès non autorisé et d’exécuter du code à distance. Ce code malveillant a affecté plusieurs distributions Linux largement utilisées, notamment Kali Linux, Fedora, Debian et Arch Linux. La porte dérobée a été intentionnellement insérée par un individu qui avait gagné la confiance des responsables du projet XZ Utils pendant deux ans et a entraîné des dégâts considérables.
Exploitation des vulnérabilités
L’exploitation des vulnérabilités des logiciels, du matériel ou des processus constitue également un moyen efficace de lancer des attaques sur la chaîne d’approvisionnement et d’obtenir des accès non autorisés, de compromettre les systèmes et de propager des activités malveillantes. En juin 2023, trois vulnérabilités critiques d’injection SQL ont été découvertes dans la plateforme MOVEit Transfer de Progress Software, affectant environ 1 700 organisations. Le gang du ransomware Cl0p a exploité ces vulnérabilités dans une attaque généralisée, ciblant des sociétés telles que Zellis, British Airways, la BBC et le ministère de l’Éducation du Minnesota. Cela a entraîné un accès non autorisé à des informations sensibles, notamment des informations personnelles et financières.
Leçons des incidents passés
Des attaques notables contre la chaîne d’approvisionnement, telles que celles contre SolarWinds, Kaseya et NotPetya, mettent en évidence le potentiel dévastateur de ces violations. L’attaque SolarWinds impliquait l’insertion d’une porte dérobée dans les mises à jour logicielles, qui étaient ensuite distribuées à des milliers de clients, notamment des agences gouvernementales et de grandes entreprises. Cet incident a souligné l’importance de mesures de sécurité rigoureuses pour les chaînes d’approvisionnement en logiciels ainsi que la nécessité d’une vigilance constante et de capacités de réponse rapide.
Stratégies d’atténuation
Compte tenu des graves implications des attaques sur la chaîne d’approvisionnement, les équipes SOC et de chasse aux menaces des organisations doivent adopter des mesures proactives pour atténuer les risques. Les bons outils, renseignements et contexte aident les équipes à comprendre les menaces spécifiques qui pèsent sur leur organisation.
Le module Third-Party Intelligence de Cybersixgill offre des renseignements améliorés sur les cybermenaces provenant de diverses sources, fournissant aux organisations des informations essentielles sur les lacunes de cybersécurité de leurs fournisseurs. Cela permet aux équipes de sécurité de :
- Anticipez les menaces liées à la chaîne d’approvisionnement
- Évaluer en permanence la posture de sécurité des tiers pour minimiser les risques
- Signaler les menaces et proposer des actions correctives recommandées aux fournisseurs concernés
- Entreprendre des recherches sur les fusions et acquisitions avant la finalisation des contrats
Conclusion
Dans le paysage en constante évolution des cybermenaces, le maintien d’une chaîne d’approvisionnement sécurisée n’est pas seulement une priorité stratégique mais une nécessité fondamentale pour garantir l’intégrité et la fiabilité des opérations numériques.
La menace croissante d’attaques sur la chaîne d’approvisionnement exige une sensibilisation accrue et des stratégies de sécurité robustes de la part de toutes les parties prenantes. À mesure que les écosystèmes commerciaux deviennent plus interconnectés, les vulnérabilités au sein des chaînes d’approvisionnement deviennent plus apparentes et exploitables. Les organisations doivent mettre en œuvre des mesures de sécurité complètes, évaluer en permanence leurs relations avec les tiers et se tenir informées des dernières menaces pour protéger leurs écosystèmes numériques.
Pour en savoir plus sur les attaques de la chaîne d’approvisionnement et les renseignements tiers de Cybersixgill, téléchargez Chaînes brisées : comprendre les cybermenaces tiercesou contactez-nous pour planifier une démo.