Mouvement latéral : la discrétion au cœur de cyberattaques d’ampleur

Les cybercriminels emploient différentes techniques d’attaques, selon l’organisation ciblée et l’objectif visé. L’effet spectaculaire et paralysant immédiat sera parfois recherché, dans le cadre d’attaques par déni de service distribué, DDoS, contre des sites web par exemple. Dans le cas de bien des cyberattaques cependant, la technique consiste à rester le plus discret possible dans un premier temps, pour mieux tromper la vigilance de l’organisation en question.

Le cyber attaquant se faufile dans le système, s’y cache et progresse discrètement. Décryptage d’un mode opératoire encore trop souvent méconnu : le mouvement latéral.

Mouvement latéral : définition

Expression clé en matière de cybersécurité, le déplacement latéral, mouvement latéral ou latéralisation, ou encore lateral movement, désigne un processus par lequel un cyber attaquant se déplace de manière furtive au sein du réseau d’une organisation, pour accéder à ses ressources sensibles.

Cette étape clé de la cinétique d’attaque intervient après l’obtention d’un accès initial. Elle permet à l’attaquant non seulement de se déplacer dans le réseau, mais aussi d’identifier des mécanismes de persistance pour éviter d’être éjecté du système.

L’attaque par mouvement latéral consiste à progresser non pas directement vers l’objectif, mais au gré des vulnérabilités du système. Le but pour l’attaquant : ne pas se faire remarquer pour progresser tranquillement vers les profondeurs du système informatique.

Comment se passe un mouvement latéral ?

Tout commence par une faille dans le système informatique, qui constitue une porte d’entrée pour le cybercriminel : une machine infectée par un logiciel malveillant connectée au réseau, un réseau mal sécurisé, des identifiants trop facilement volés, le port ouvert d’un serveur…  De ce point de départ, l’attaquant pénètre dans le réseau. Le mouvement latéral cyber va commencer.

Entrée dans le réseau et reconnaissance

Le cyber attaquant obtient un premier accès au système, par phishing ou vulnérabilité logicielle par exemple, et étudie le terrain. Pendant cette phase d’observation, le hacker tente de cartographier le réseau.

Il cherche à  comprendre les conventions de dénomination de l’hôte, la structure hiérarchique du réseau, les systèmes d’exploitation. L’attaquant identifie aussi les faiblesses potentielles, souvent au niveau des endpoints, “points de terminaison”, particulièrement aptes à comporter des vulnérabilités et à devenir points de propagation.

Il peut également utiliser cette phase pour récupérer des identifiants supplémentaires et identifier des systèmes critiques à compromettre.

Après avoir trouvé l’accès à un premier endpoint, le cybercriminel peut se faire passer pour un utilisateur et progresser jusqu’à sa cible. Commence alors l’escalade  des privilèges.

Escalade des privilèges

Le cybercriminel doit à ce stade débloquer les accès à un maximum de points d’entrée du système pour pouvoir être “partout”, et toujours plus dur à détecter .

Le pirate informatique se déplace souvent par sauts d’une faiblesse à l’autre, de manière opportune, ce qui rend sa progression difficile à prédire et schématiser.

Il exploite de plus des privilèges existants : le cyber attaquant se fait passer pour un utilisateur légitime et se déplace sur le réseau en collectant identifiants de connexion et données nécessaires, jusqu’à ce qu’il atteigne son objectif et procède au dépôt de la charge finale : la manœuvre qui permettra la perturbation du système ou le vol de données sensibles.  

Certains attaquants utilisent cette phase pour établir un accès persistant en installant des portes dérobées – ou backdoors – qui leur permettent de revenir plus tard sans nécessiter un nouvel accès initial.

Dépôt de la charge finale

Une fois les données sensibles atteintes, l’attaquant procède à l’implantation d’une “charge utile” dans le réseau cible, comme un logiciel malveillant ou une backdoor pour contrôler ou perturber le système à distance, maintenir un accès, voler des données.

Outils et exemple de mouvement latéral

Les cybercriminels s’appuient en général sur des outils externes, généralement open source, et détournés de leur vocation première pour analyser ports, connexion, techniques en phases de reconnaissance :  PowerShell, Netstat, IPConfig/IF.

Les outils du déplacement latéral

Plusieurs outils ont été identifiés à différents stades des attaques avec déplacement latéral. Leur détection nécessite une surveillance professionnelle quotidienne du réseau informatique dans sa globalité.

Enregistreurs de frappe

Aussi appelés keylogger, ces logiciels enregistreurs de frappe permettent aux cybercriminels d’enregistrer secrètement toutes les frappes au clavier sans le consentement de l’utilisateur. Certains sont installés physiquement sur le clavier de la machine cible. Ils permettent aux pirates informatiques de récupérer les mots de passe “en direct” lorsque l’utilisateur les saisit.

Utilisation abusive des partages SMB/Admin Windows

Le protocole SMB (Server Message Block) est essentiel pour le partage de fichiers et d’imprimantes dans un réseau Windows. Il est souvent exploité par les cybercriminels pour transférer des charges malveillantes et exécuter des scripts à distance.

Une fois qu’un attaquant obtient des droits d’administrateur, il peut :

• déployer des outils malveillants à l’échelle du réseau via les partages SMB.
• Propager un ransomware en cryptant les fichiers accessibles via SMB.
• Exécuter du code à distance en exploitant des partages administratifs cachés.

Des attaques notoires comme WannaCry et NotPetya ont utilisé des failles SMB (ex : EternalBlue) pour infecter des réseaux entiers en quelques heures.

Utilisation d’identifiants volés pour accéder à SSH, RDP, Telnet ou VNC

Les cybercriminels exploitent des identifiants volés pour s’infiltrer dans un réseau via des protocoles d’accès à distance : SSH (Secure Shell), RDP (Remote Desktop Protocol), Telnet et VNC…

Pass the Ticket (PTT) : détournement de l’authentification Kerberos

Basée sur le protocole Kerberos, Pass the ticket désigne un protocole d’authentification réseau reposant sur des clés secrètes et l’utilisation de tickets. L’idée : éviter toute interception.

Les outils de type Mimikatz

Mimikatz peut être utilisé pour voler des mots de passe mis en cache et des certificats d’authentification.

Pass the hash

La technique Pass the hash consiste à contourner les processus d’identification standard en récupérant des hachages de mots de passe valides stockés sur un système compromis. Le hachage transforme un mot de passe en une valeur alphanumérique.

ARP spoofing ou ARP poisoning

L’exploitation du cache ARP, par ARP spoofing ou ARP poisoning, est également citée pour perturber le protocole ARP et détourner les adresses IP.

Cobalt Strike cracké

Enfin, Cobalt Strike (version pirate) et ses beacon loaders, détourné de sa vocation première, la sécurité informatique, a également fait parler de lui suite à l’attaque SolarWinds. Cobalt Strike est au départ un outil de test de pénétration utilisé par les professionnels de l’informatique et chercheurs en sécurité pour évaluer la résilience d’un réseau ou d’un système informatique aux attaques.

La détection d’une instance de ce type nécessite une surveillance constante du trafic réseau.

L’attaque SolarWinds : un mouvement latéral sur plusieurs années

Le déplacement latéral a été utilisé dans l’une des plus grandes cyberattaques au monde, l’attaque de SolarWinds par le groupe de pirates informatiques russes Cozy Bear. Huit agences gouvernementales américaines et une centaine d’organisations privées ont été touchées par les cybercriminels.

Comment les attaquants ont-ils pu échapper à la vigilance des équipes de sécurité  Microsoft, Cisco et d’agences gouvernementales ? Comment l’attaque  a-t-elle pu passer inaperçue pendant des mois ? Le malware Sunburst aurait été transmis par une mise à jour infectée du logiciel Orion. Les chercheurs ont aussi découvert qu’un autre malware, Sunspot, non détecté auparavant, était déjà diffusé via une mise à jour test de 2019.

Cobalt Strike est l’un des outils ayant rendu possible cet espionnage de longue durée. Deux chargeurs, Raindrop et Teardrop, auraient été utilisés pour le diffuser dans la chaîne d’approvisionnement SolarWinds.

Le chargeur, ou beacon, est un composant utilisé pour implanter un agent de commande et de contrôle sur un système cible et établir une connexion avec le serveur de commandes et de contrôle Cobalt Strike, en utilisant une adresse IP ou un nom de domaine spécifique et un port préconfiguré. Une fois connecté, le chargeur reçoit des instructions du serveur Cobalt Strike : commandes pour collecter les données ou exécuter des scripts et augmenter les niveaux de privilèges. Le chargeur peut aussi devenir point d’entrée et permettre au pirate informatique d’étendre son emprise sur le système.

Caractéristiques du déplacement latéral

On observe quelques constantes dans le procédé.

Un processus souvent manuel

Bien que certaines procédures de piratage soient automatisées, la plupart des déplacements latéraux se font manuellement. Les attaquants conservent ainsi une certaine agilité en cas de contre-mesures de sécurité appliquées par les administrateurs du système. Et c’est ce qui les rend si difficiles à détecter.

Une latence virale

S’il n’est pas correctement neutralisé dès le départ, le mouvement latéral permet au cybercriminel de maintenir l’accès au réseau, même une fois détecté. Il reste discret pour tromper la vigilance de son hôte : le vol de données n’intervient parfois que plusieurs mois ou plusieurs années après l’infection première. C’est ce qui s’est passé pour SolarWinds.  

Comment détecter un déplacement latéral ?

La détection d’une latéralisation est difficile. Il s’agit d’établir une corrélation entre événements d’authentification anormaux, comportements suspects, demandes d’accès anormales, et bien sûr la détection d’outils malveillants.

Il es notamment essentiel d’analyser les accès anormaux aux partages SMB, SSH ou RDP, et de rechercher des artefacts de logiciels malveillants, comme des tuyaux nommés ou des condensats de fichiers suspects.

La prévention des attaques par déplacement latéral

Le déplacement latéral intervient avant le dépôt de la charge finale, qu’il s’agisse d’un malware, d’un ramsomware, ou d’autres outils malveillants. La prévention du mouvement latéral lui-même est donc essentielle pour limiter les dommages.

Si chaque système informatique a ses spécificités et nécessite un audit et une solution sur-mesure pour réduire au maximum les risques, tous les systèmes doivent obéir à quelques exigences “de base” pour avoir une chance de limiter les dégâts.

Maintenir parc informatique et logiciels à jour

Évitez les faiblesses liées aux machines et logiciels obsolètes. Ne pas appliquer mises à jour et correctifs revient aussi à s’exposer à des risques importants. Pour lutter contre ce type d’attaque, il peut également être nécessaire de mettre en place une solution intégrant des fonctionnalités d’analyse comportementale, gérée par un prestataire informatique expert.

Mettre en place un plan de sécurité adapté

Un plan de sécurité informatique permet une détection précoce de l’activité suspecte grâce aux journaux d’audit et alertes de sécurité, comme d’isoler les systèmes ou comptes compromis pour bloquer la progression du cyber attaquant. Enfin, il implique une analyse des faiblesses du système grâce aux tests régulièrement effectués.

Maîtriser le timing et avoir conscience de l’urgence

Le temps est un facteur déterminant de l’ampleur d’une cyberattaque.

Temps de propagation

On appelle temps de propagation le temps nécessaire à un cyber attaquant pour amorcer un déplacement latéral au sein du réseau depuis une machine. Celui-ci serait d’environ deux heures.

Temps de déclenchement

Le temps de déclenchement des contre-mesures est un indicateur clé pour la cybersécurité. Il comprend :

• le délai nécessaire pour détecter l’intrusion ;
• le délai nécessaire pour enquêter et trouver la solution
• le délai nécessaire pour répliquer et supprimer le risque.

La règle des 1-10-60

La règle des 1-10-60 en cybersécurité signifie :

• 1 : détecter une intrusion en moins d’une minute
• 10 : enquêter en moins de dix minutes
• 60 : neutraliser et sortir l’attaquant du système en moins de 60 minutes.

La règle des 1-10-60 VISE vise à repousser l’attaque avant que le cybercriminel n’ait eu le temps de quitter son point d’entrée dans le système informatique : avant toute tentative de déplacement latéral au sein du système.

La règle des 1-10-60 en cybersécurité est fondamentale. Si ces délais sont respectés, il est possible d’empêcher la propagation du déplacement latéral avant que l’attaquant ne puisse compromettre d’autres ressources du réseau.

Cependant, la simple détection d’un déplacement latéral ne permet pas d’identifier avec certitude l’origine et l’auteur de l’attaque. De nombreux cybercriminels et groupes étatiques utilisent des outils similaires, comme Cobalt Strike et d’autres techniques d’infiltration. L’attribution ne peut être effectuée qu’en combinant plusieurs indices, comme les vecteurs d’accès initiaux et les outils personnalisés laissés par l’attaquant.

Toute la complexité du déplacement latéral tient à la composante humaine et à son caractère aussi difficilement détectable que prévisible. Une fois les privilèges d’administration obtenus, il peut être difficile de discerner une anomalie dans le trafic réseau quotidien. Chaque organisation nécessite une cybersécurité sur-mesure, prenant en compte tous les facteurs techniques et humains. Celle-ci passe par une infogérance informatique professionnelle au quotidien, pour réduire au minimum les risques associés aux différents droits d’accès et plateformes, mais aussi à l’obsolescence des équipements informatiques et à la méconnaissance des bonnes pratiques de cybersécurité de la part des usagers.