La prétendue violation de la sécurité d’AstraZeneca ne devrait être lue que comme un autre épisode qui affecte une grande multinationale. Mais pour l’entendre, nous devons remonter aux principes du mois de mars.
À ce moment-là, une campagne coordonnée a été détectée, attribuée au groupe criminel TeamPCP, contre des pièces particulièrement délicates de la chaîne de gestion du logiciel. Il n’y a pas d’incidents déconnectés ni d’attaques aléatoires, il y a des compromis sur les outils de confiance utilisés par les développeurs, les équipes techniques et les organisations de tout type.
Tout cela a été réalisé avec Trivy, un outil de sécurité largement implanté dans l’entreprise de développement. L’objectif n’était pas d’attaquer l’entreprise qui développait le produit, si elle manipulait le logiciel de manière légitime en introduisant un code malveillant. Les atacantes prouvent que les grandes entreprises ont ce produit, car le logiciel manipulé leur permet d’accéder aux informations sensibles qui existent dans les systèmes qu’ils utilisent. Contraseñas, clás de acceso y otra información critique fue robada, sin que las victimes fuesen conscienciosas, por el mero hecho de estar o largos des versions malveillantes.
Cette question est très importante, car nous devons savoir comment fonctionner les attaques sur la chaîne de suministro. La menace ne consiste pas à vulner directement une entreprise, mais elle est également en contradiction avec ce que cette entreprise a confiance pour opérer.
Ensuite, l’attention a été portée à LiteLLM, un logiciel qui agit comme une capacité de connexion entre différents fournisseurs d’IA. C’est ainsi que les entreprises se concentrent sur un seul point, plusieurs touches et accès de haute valeur. Leurs créateurs utilisent Trivy, car ils seront victimes de l’attaque initiale. Avec les clés utilisées lors du premier incident, suivez le même mode opératoire : manipuler le logiciel légitime de LiteLLM. Le code malveillant était similaire : voler des contraventions valides, accéder au cloud d’arrivée, variables d’arrivée, etc. Et ici, un autre grand nombre de victimes : c’est tout ce que vous confiez à LiteLLM et vous utilisez dans vos affaires.
Je l’ai confirmé. Un acteur identifié, la chaîne de réussite numérique convertie en entrée, et un objectif récurrent : les clés d’accès. Il s’agit d’accès légitimes que les criminels peuvent utiliser plus tard pour attirer plus d’entreprises.
Et donc, quand un jour après l’apparition du nombre d’AstraZeneca dans les milieux criminels, l’épisode doit faire partie de cette sécurité la plus étendue. Pour analyser, nous pouvons nous concentrer sur deux éléments.
Par conséquent, c’est la nature du matériau qui a été obtenu. Après la publication difundida, la filtration fait référence à l’infrastructure cloud, ainsi que les secrets et les éléments d’accès aux clés privées et autres contraseñas.
Par ailleurs, il est également important que la valeur soit la suivante : LAPSUS$. L’acteur malveillant qui annonce l’attaque n’est pas un nouveau nom. Votre historique doit avoir une préférence claire pour le robot d’accréditation, l’ingénierie sociale, l’abus d’accès légitimes et l’extorsion. Il s’agit d’un groupe qui nous rappelle toujours que la plupart des tâches les plus difficiles ne sont pas menées par des techniciens particulièrement sophistiqués, en raison de l’efficacité de l’exploitation de la confiance et des difficultés humaines et opérationnelles des entreprises.
Llegados a ce punto conviene subrayar un matiz esencial. Aujourd’hui, il n’y a pas eu une confirmation complète de la part d’Astrazeneca, ni même une vérification publique concluante qui se connecte directement à la campagne TeamPCP avec cette attaque. Mais en plus des clients similaires et de la coïncidence temporelle, des analyses récentes suggèrent que TeamPCP collabore avec LAPSUS$ et d’autres groupes criminels pour attaquer toutes les entreprises concernées.
TeamPCP compromet les outils, les dépendances et les engagements de confiance pour obtenir des accès, et les grands criminels utilisent ces accès pour comprimer, cifrar, extorsionner et exposer publiquement les entreprises. Dans ce cas, le cas AstraZeneca a déjà dû observer un incident passé et s’enclencher comme une possible dérivée de la même campagne.
La menace ne consiste pas à vulner directement une entreprise, si ce n’est en compromettant ce que cette entreprise a confiance pour opérer.
Et maintenant nous nous trouvons devant le problème réel. On estime que l’attaque pourrait affecter plus de 1 000 entreprises SaaS de différentes entreprises, et cela pourrait augmenter de 5 000 à 10 000 entreprises plus à court terme. Cette collaboration entre groupes criminels reflète le nombre d’accès robotisés et la nécessité pour les criminels de capitaliser l’attaque rapidement. Habituellement, nous collaborons parce que nous avons plusieurs mains pour attirer tant d’entreprises à la fois, avant d’avoir le compte et de pouvoir modifier les contraventions et les accès robots.
Ce que vous pouvez espérer maintenant de la part des entreprises est facile : rotation accélérée des clés, révision des dépendances, vigilance du maire sur les accès privilégiés et plus de pression pour renforcer la sécurité de tout ce qui se connecte à certaines organisations avec d’autres. Nous observerons probablement de nouvelles attaques dérivées de cette grande campagne initiale.
Auteur : Diego León, PDG de Flameera
