Ces derniers jours auront été intenses pour les hackers du groupe Lapsus$, également appelé DEV-0537. Sept membres présumés de Lapsus$, de 16 à 21 ans, ont été appréhendés par la police londonienne. Un adolescent anglais vivant à Oxford serait la tête pensante de ce groupe qui a su se distinguer rapidement par ses tactiques audacieuses lui permettant de viser avec succès des multinationales de premier plan. Deux questions se posent aujourd’hui pour les entreprises : quel est le mode opératoire de Lapsus$ et comment s’en protéger ? Matthieu Jouzel, Solutions Engineer de BeyondTrust, nous livre son analyse.

L’ascension rapide de Lapsus$

Dans un monde où les cyber-assauts prennent surtout la forme d’attaques furtives et de ransomwares, Lapsus$ a surpris tout le monde par une campagne choc mêlant extorsion, destruction et auto-promotion. Le groupe est rapidement passé de petites entreprises en Amérique du Sud et au Royaume-Uni à des cibles d’envergure mondiale.

A lire aussi : Réutilisation des données, altruisme, intermédiation… Le Data Act approuvé

Ses tactiques sont aussi diversifiées que leurs victimes : secteurs du commerce, des médias, des télécommunications, santé, administrations et technologie. Le groupe Lapsus$ apprécie autant vider les comptes de cryptomonnaies d’individus que compromettre et jeter le discrédit sur de grands groupes. Alors que les spéculations sur les motivations du groupe allaient bon train, Lapsus$ a déclaré en décembre 2021 que l’argent était sa seule motivation. Il communique volontiers sur Telegram où il se vante de ses exploits et contredit le récit des événements de ses victimes, mais cherche aussi à recruter des contacts au sein des entreprises. Rien qu’en une semaine, fin mars, 15.000 nouveaux followers ont rejoint le compte Telegram du groupe, ce qui laisse craindre un recrutement actif et de nouvelles attaques imminentes.

Les tactiques de Lapsus$

Le groupe Lapsus$ semble avoir de bonnes compétences en matière de reconnaissance et d’ingénierie sociale. Pour l’attaque d’Okta, ses membres se sont approchés d’un tiers, agent du support technique, qui avait des droits d’accès privilégiés à certains systèmes Okta. Dans d’autres cas, ils sont parvenus à obtenir la réinitialisation de mots de passe et ont échangé des cartes SIM pour contourner l’authentification MFA. Mais l’une des tactiques privilégiées du groupe consiste à corrompre des salariés de grands groupes, payés pour faire tourner des outils d’accès à distance ou révéler des identifiants. Il arrive qu’ils ciblent l’appareil personnel d’un utilisateur et qu’ils y exécutent le logiciel de vol de mots de passe Redline afin d’obtenir l’accès aux identifiants internes de connexion aux services d’e-mail. Une fois qu’ils ont compromis l’identité d’un utilisateur, ils se connectent à des systèmes accessibles par Internet, via Remote Desktop Protocol (RDP) ou Virtual Private Network (VPN), et obtiennent ainsi l’accès direct aux systèmes de la victime ou au réseau. Pour éviter de déclencher des alertes de sécurité fondées sur la géolocalisation, ils utilisent des nœuds de sortie NordVPN dans la même région, espérant passer inaperçus.

Exécution, persistance et élévation des privilèges

Une fois infiltrées dans un système, les attaques Lapsus$ installent (ou font installer par un initié) un programme d’accès à distance grand public, comme AnyDesk, afin de maintenir l’accès ouvert. A examiner les captures d’écran publiées par le groupe suite à l’attaque d’Okta, il apparaît qu’ils utilisent un outil d’accès à distance ThinScale pour accéder à un client léger. De là, les cybercriminels examinent les utilisateurs et leur appartenance à des groupes dans Active Directory pour identifier des utilisateurs ou des systèmes leur permettant de bénéficier de niveaux de privilèges supérieurs. Ils explorent aussi les canaux de communication, comme Slack, les wikis internes et plateformes de collaboration, comme SharePoint, pour obtenir des informations sur la structure de l’entreprise et d’autres identifiants. Des outils, comme Mimikatz, facilitent l’élévation de privilèges dans l’espoir d’obtenir un accès admin de domaine. Il est arrivé que des hackers Lapsus$ ayant pu accéder à l’infrastructure cloud de l’entreprise aient pu créer des comptes privilégiés et bloquer les utilisateurs légitimes hors des systèmes.

Exfiltration et impact

Lapsus$ exfiltre autant de données que possible via des connexions VPN et/ou des machines virtuelles créées de toute pièce et connectées au réseau. Mais plutôt que de chiffrer les données statiques comme le font de nombreux opérateurs de ransomwares, ils les suppriment des ressources et systèmes compromis. Une pratique très inhabituelle du groupe consiste à utiliser son niveau d’accès aux systèmes pour surveiller de l’intérieur les communications relatives à la gestion de l’incident. En étant infiltré dans le système de surveillance de la victime, Lapsus$ peut mieux mesurer l’impact de l’attaque et affiner sa tentative d’extorsion de fonds.

Comment se protéger des attaques de type Lapsus$ ?

Si les tactiques employées par Lapsus$ ne sont pas totalement inédites, ce groupe semble particulièrement affûté pour viser des identités et systèmes et les exploiter. Il est donc primordial d’appliquer une approche robuste et continue de protection des identités, et plus particulièrement de celles assorties de privilèges. Les mesures de contrôle ci-après, combinées ensemble, offrent une solide protection contre les menaces de Lapsus$ tout en permettant l’établissement d’une architecture zéro trust.

• Découvrir et intégrer toutes les identités privilégiées pour pouvoir prendre le contrôle avant l’agresseur et se protéger des tentatives de piratage de compte, d’élévation des privilèges, de progression latérale, etc.
• Appliquer le principe de moindre privilège dans tout l’environnement pour réduire grandement la surface d’attaque et les fenêtres de progression latérale et d’élévation de privilèges.
• Surveiller les connexions MFA et comprendre d’où elles émanent en évitant les méthodes de vérification par SMS qui exposent au piratage de carte SIM et en formant les utilisateurs à signaler toutes les sollicitations indésirables.
• Sécuriser les accès à distance avec des contrôles d’accès granulaires, pour se protéger de l’utilisation abusive d’identifiants volés, des accès illégitimes et des tentatives de progression latérale.
• Contrôler les applications. Il peut donc être judicieux d’établir une liste d’autorisation des applications avec gestion pragmatique des exceptions.
• Unifier la gestion des droits d’accès au cloud. Il est important de pouvoir découvrir et gérer les droits d’accès au cloud pour éviter les utilisations abusives de privilèges et appliquer systématiquement le principe de moindre privilège dans le cloud.
• Instaurer la gestion des mots de passe privilégiés. Il convient d’appliquer des règles d’accès et d’auditer les sessions à la recherche d’activités suspectes ou risquées. Aussi, la réinitialisation automatisée des mots de passe suite à un changement de contexte ou à des menaces réduit fortement la fenêtre d’exécution d’une attaque utilisant des identifiants.

Les prouesses de Lapsus$ ont beau être médiatisées, rien ne prouve qu’ils aient employé des programmes inédits (zéro-day) ou imaginé de nouvelles techniques d’attaque. Les hackers de ce groupe se contentent de se procurer des identités ayant accès à des privilèges par des techniques d’ingénierie sociale ou la corruption d’initiés. Ces attaques soulignent la nécessité de protéger la sécurité des privilèges et de gérer l’ensemble des accès, des actifs sur site jusqu’aux charges de travail dans le cloud.