.png)
Comment j'ai piraté le lancement d'une navette spatiale — et je me suis fait prendre
Bonjour et bienvenue sur la première série de blogs Hacker Nemesis !
Je suis Paul Dant, et je dirige le groupe de recherche sur la cybersécurité d'Illumio au sein du bureau du CTO. Nous sommes une équipe de pirates informatiques de longue date et de professionnels de la sécurité de carrière possédant des décennies d'expérience dans le domaine de la cybersécurité, jouant les défenseurs et les attaquants.
Pourquoi le nom Hacker Nemesis pour cette série de blogs ? Relier les points entre Fonctionnalités d'Illumio et nos clients cybersécurité les besoins sont notre mission principale, en particulier en ce qui concerne cyber-résilience. En d'autres termes, nous faisons en sorte qu'il soit plus difficile pour les pirates informatiques de vous pirater et de vous extorquer de l'argent. Ce qu'ils détestent absolument. NÉMÉSIS !
Dans les prochains articles, j'examinerai une vérité universelle qui explique pourquoi nous perdons toujours dans le cyberespace : tout a changé, mais rien n'a changé ! J'ai passé des décennies à pirater tout, des jeux aux productions de films sur mâts de tentes en passant par les installations d'énergie nucléaire, avec beaucoup de succès, et je vais parler de certaines de ces attaques ici.
Les modèles que vous identifierez rapidement sont les suivants :
- Les hackers ne sont pas des magiciens.
- Ces attaques sont bien plus faciles qu'il n'y paraît.
- Les attaquants vivent de la terre : une fois sur le réseau, le système d'exploitation fournit à peu près tout ce dont vous avez besoin pour vraiment gâcher votre journée.
Le manuel des attaques de rançongiciels date de plusieurs décennies.
Note sur la cyberrésilience
La cyberrésilience ne se limite pas à survivre à une attaque.
Si nous examinons la théologie omniprésente du Zero Trust, elle nous indique que nous devons accepter qu'un attaquant puisse, à un moment ou à un autre, infiltrer le réseau. « Présumer qu'il y a eu violation » est la formulation précise, et je soutiens fermement ce principe.
Si une attaque bloque 80 % de vos serveurs critiques et que les opérations sont interrompues, mais que vous avez récupéré une sauvegarde 48 heures plus tard ? Tu as survécu, mais ce n'est pas de la résilience. Quel a été le coût de 48 heures d'arrêt ?
Si vous êtes résilient, il n'y a pas de temps d'arrêt. Lorsque l'inévitable infiltration du réseau se produit, celui-ci est tellement limité à un seul système compromis que l'attaquant se dirige vers une cible plus facile avec un résultat risque/récompense plus favorable. En d'autres termes, confinement des brèches. Assurez-vous que le premier système compromis, le « compromis initial », si vous voulez, est le dernier système compromis. Plus facile à dire qu'à faire, non ?
S'il existe un tldr, pour cet article, c'est celui-ci : La clé pour éviter de réussir attaques de ransomware est la visibilité et le contrôle des mouvements latéraux non autorisés. Partout.
Vous n'allez pas arrêter toutes les tentatives d'infiltration, mais vous pouvez réduire considérablement le risque de vous demander « les payons-nous ? » décision en empêchant les attaquants de pénétrer plus loin dans votre réseau.
Oui, essayons de les tenir à l'écart du réseau pour commencer ; cela va de soi et c'est exactement ce que signifie la « défense en profondeur ». Défenses périmétriques, défenses des terminaux, défenses du réseau : elles ont toutes leur rôle à jouer dans une défense multicouche qui doit inclure des contrôles compensatoires en cas d'échec de l'une ou de l'ensemble de ces défenses.
J'étais Zero Cool-ish
Comme il s'agit du billet inaugural de la série, pourquoi ne pas revenir à mon premier exploit en 1991 pour voir comment les attaquants utilisent toujours les mêmes astuces que j'utilisais en tant qu'enfant hacker ?
En repensant à l'histoire des hackers, Zéro cool a réussi à détruire 1 507 systèmes. Bien que je n'aie réussi à en éliminer qu'environ 47 lors de ma première attaque, c'est quand même un exploit étant donné que je l'ai fait avant même que nous n'ayons entendu parler de Zero Cool.
Ma première attaque, également la plus destructrice de mon époque, visait une mission simulée de navette spatiale et la perturbation complète était mon principal (et unique) objectif.
Alerte spoiler : j'ai gagné. Mais je me suis aussi fait prendre, mettant en lumière un aspect critique du piratage informatique qui distingue les soi-disant script kiddies des adorables 1337 hax0rs : on ne peut pas se vanter d'être un hacker si on se fait prendre. Inversement, cela m'a aussi appris que le fait de se vanter d'être un hacker peut, en fait, vous faire prendre.
Avant de décortiquer cette attaque, définissons le contexte approprié. La mission simulée de navette spatiale en question était un projet scientifique auquel ma classe de septième année a participé, comprenant la construction d'une navette, un équipage d'élèves spécialement choisi qui passerait près de deux jours complets à piloter la navette et une équipe au sol bénévole dans le centre de contrôle de mission de fortune (généralement la classe de sciences).
Et qu'est-ce qui alimente tout cela ? Des ordinateurs ! Plus précisément, quelques dizaines d'IBM PS/2 exécutent des clients Novell NetWare via IPX/SPX sur un réseau en anneau symbolique. C'était un événement brillant et innovant auquel je voulais participer et j'ai postulé en tant que responsable informatique de l'équipage. Inexplicablement, je n'ai pas été sélectionné !
De toute évidence, la décision du comité de sélection était inacceptable et ils devraient payer. Ma vengeance serait double. Tout d'abord, gâcher la mission de la navette pour tous les autres sera très satisfaisant pour un hacker de douze ans qui en veut. Mais il est tout aussi important qu'ils apprennent à ne plus jamais oublier Paul Dant. Quelle erreur stupide ils ont commise.
Avant de décortiquer cette attaque, examinons un outil important pour comprendre le « comment » et le « pourquoi » des comportements des attaquants.
Le cadre MITRE ATT&CK
Le framework ATT&CK, développé et maintenu par ONGLET. Si vous ne le connaissez pas, je vous recommande vivement de le consulter car vous verrez qu'il est beaucoup utilisé pour cartographier les méthodologies d'attaque.
La figure ci-dessous représente une description claire des phases typiques d'une attaque de ransomware Conti. Le groupe de rançongiciels Conti n'existe plus, mais sa méthodologie se perpétue dans les groupes secondaires de Conti. En fait, vous remarquerez que la plupart des attaques de rançongiciels, quel que soit le groupe à l'origine, suivent cette carte générale.
Voici comment le lire :
- La rangée la plus haute, de gauche à droite, représente tactiques. Considérez chaque tactique comme une progression de l'attaque vers les objectifs finaux, ce qui signifie qu'un échec (ou une absence) de contrôles a permis à l'attaque de progresser.
- Dans chaque colonne de tactique, nous avons le techniques utilisé pour faire passer l'attaque à la phase ou à la tactique suivante. Les techniques représentent les mécanismes d'attaque spécifiques utilisés et leur compréhension peut nous aider à formuler les risques et à déterminer les contrôles appropriés, y compris leur coût !
Défaire la mission de la navette
Bien que les plans que j'ai élaborés pour cette attaque n'aient pas l'air aussi précis qu'une carte MITRE ATT&CK, je vous garantis que je les avais et qu'ils ressemblaient à ceci.
Mais voici le problème : si je devais mapper les tactiques et les techniques de mon attaque de navette spatiale au framework ATT&CK, cela ressemblerait probablement à ceci :
Oui, c'est la bonne image, celle que nous venons de regarder. Pourquoi ? Parce que ces règles d'attaques de rançongiciels remontent à des décennies !
J'étais au fait de ces tactiques et techniques avant même d'entendre le terme « piratage », car c'est tout simplement intuitif, ce qui rend le framework ATT&CK si précieux.
Appel à l'action !
Dans mon prochain billet, je commencerai à examiner chacune des tactiques et techniques que j'ai utilisées, et vous verrez à quel point les choses ont peu changé là où cela compte vraiment, vraiment : notre capacité à voir et contrôler la propagation des rançongiciels et des violations sur l'ensemble du réseau !
En attendant, pensez-vous de la capacité d'un infiltré à se déplacer sur votre réseau sans être détecté ? Dans de nombreux cas, la toute première indication d'une intrusion est le nouveau fond d'écran de votre ordinateur après qu'un ransomware l'ait rendu inutilisable.
Il s'est passé tant de choses avant ce moment, mais rien n'a été détecté et tout à fait évitable grâce à Segmentation Zero Trust d'Illumio.
Illumio peut vous aider à éviter de devenir la prochaine victime d'une cybercatastrophe à l'actualité. Entrez en contact et découvrez comment !
