Une campagne d’attaque par force brute de plusieurs semaines par des acteurs malveillants a atteint des proportions gigantesques, selon une organisation de sécurité à but non lucratif.
La Fondation ShadowServer rapporte que la campagne, qui se poursuit depuis janvier, implique jusqu’à 2,8 millions d’adresses IP par jour, ciblant les appareils VPN, les pare-feu et les passerelles de fournisseurs comme Palo Alto Networks, Ivanti et Sonicwall.
«La récente vague d’attaques par force brute ciblant les dispositifs de sécurité Edge, tels que rapportés par ShadowServer, est une grave préoccupation pour les équipes de cybersécurité», a déclaré Brent Maynard, directeur principal de la technologie de sécurité et de la stratégie chez Akamai Technologies, un fournisseur de services de réseau de livraison de contenu, dans dans Cambridge, messe.
« Ce qui distingue cette attaque, c’est à la fois son échelle – des millions d’IP uniques tentant d’accès quotidiennement – et le fait qu’il frappe l’infrastructure de sécurité critique comme les pare-feu, les VPN et les passerelles sécurisées », a déclaré Maynard à Technewsworld.
«Ce ne sont que des appareils. Ce sont les défenses de première ligne qui protègent les organisations contre les menaces externes. Si un attaquant prend le contrôle sur eux, il peut contourner les contrôles de sécurité entièrement, entraînant des violations de données, de l’espionnage ou même des attaques destructrices. »
Dans une attaque par force brute, des vagues de mots de passe et de noms d’utilisateur inondent une cible de connexion dans le but de découvrir des informations d’identification de connexion valides. Les périphériques compromis peuvent être utilisés pour le vol de données, l’intégration de botnet ou l’accès au réseau illégal.
Une menace massive de botnet dégénère
«Ce type d’activité de botnet n’est pas nouveau. Cependant, l’échelle est inquiétante », a observé Thomas Richards, un directeur de pratique du réseau et de l’équipe rouge chez Black Duck Software, une société de sécurité des applications à Burlington, Mass.
« Selon le type d’appareil compromis, les attaquants pourraient tirer parti de leur accès pour désactiver l’accès à Internet à l’organisation, perturber les réseaux communiquant ou faciliter leur propre accès à l’intérieur du réseau », a déclaré Richards à Technewsworld. « L’attaque, même s’il n’a pas réussi à accéder aux appareils, peut causer des dommages en tentant trop de tentatives de connexion et en faisant verrouiller les comptes valides. »
Patrick Tiquet, vice-président de la sécurité et de l’architecture chez Keeper Security, une société de gestion de mots de passe et de stockage en ligne basée à Chicago, a expliqué que les attaques de force brute sont importantes car elles exploitent les mots de passe faibles ou réutilisés, l’une des vulnérabilités les plus persistantes de la cybersécurité.
« Au-delà de la perte immédiate de données, ces violations peuvent perturber les opérations, endommager la réputation d’une organisation et éroder la confiance des clients – conduisant à des conséquences financières et de sécurité à long terme », a-t-il déclaré à Technewsworld.
Erich Kron, un défenseur de la sensibilisation à la sécurité chez Knowbe4, un fournisseur de formation à la sensibilisation à la sécurité à Clearwater, en Floride, a ajouté que la source de ces attaques est des millions d’appareils plus petits répartis dans le monde, ce qui les rend extrêmement difficiles à défendre.
« De nombreux consommateurs ont des appareils anciens et obsolètes dans leurs maisons se connectent à Internet », a déclaré Kron à Technewsworld. « Ces appareils vulnérables sont exploités et utilisés pour conduire des cyberattaques comme celle-ci. »
«Les approches traditionnelles telles que le géoblocage et le rendement de gros blocs d’adresses IP pourraient en fait bloquer le trafic Web légitime, coûter aux ventes des organisations et apparaître comme si le site Web était dû aux clients potentiels», a-t-il déclaré.
Les attaques basées sur les diplômes submergent les défenses
Kris Bondi, PDG et co-fondateur de Mimoto, une société de détection et de réponse aux menaces à San Francisco, a affirmé que la campagne exposée par Shadowserver met en évidence la vulnérabilité des références, même dans les organisations de sécurité et d’infrastructure.
« Les attaques par force brute sont automatisées, elles sont donc mises en œuvre à grande échelle », a déclaré Bondi à Technewsworld. «Il ne s’agit pas de savoir s’ils peuvent entrer avec cette approche. La question est de savoir combien de fois l’organisation sera pénétrée de cette façon, et l’équipe de sécurité saura quand elle se produira. »
Maynard d’Akamai a expliqué: «Les attaquants n’ont plus besoin de s’asseoir sur un clavier deviner les mots de passe. Ils déploient des botnets massifs qui peuvent tester des milliers d’identification en quelques minutes. »
« En utilisant une attaque appelée pulvérisation de mot de passe, les attaquants peuvent utiliser un nom d’utilisateur ou une adresse e-mail connus et le jumeler avec des dizaines de milliers de mots de passe les plus courants avec un logiciel qui essaiera ensuite de se connecter à divers appareils exposés », a ajouté Kron de KnowBe4. «Avec plusieurs millions d’appareils disponibles pour tenter ces connexions, le taux de réussite est susceptible d’être élevé.»
Bondi a noté que le nombre et la taille des attaques de force brute augmentent. «L’automatisation et l’IA génératrices ont facilité la mise en œuvre de ce type d’attaque», a-t-elle déclaré.
«Ils frappent la grande vulnérabilité que représentent les références», a-t-elle poursuivi. «Les attaquants savent que s’ils envoient suffisamment d’attaques, un certain pourcentage passera. En attendant, les équipes de sécurité sont dépassées et ne sont pas en mesure de traiter toutes les attaques en temps réel, en particulier sans contexte supplémentaire. »
L’explosion des appareils connectés à Internet et l’utilisation continue des informations d’identification faibles contribuent également à des attaques accrues de force brute.
« Avec le travail à distance, les appareils intelligents et l’adoption du cloud, davantage d’organisations s’appuient sur les appareils de sécurité Edge qui doivent être accessibles depuis Internet », a déclaré Maynard. «Cela en fait des cibles naturelles.»
« Malgré des années d’avertissements », a-t-il ajouté, « de nombreuses entreprises utilisent toujours des mots de passe par défaut ou faibles, en particulier sur les appareils d’infrastructure. »
Le rôle de l’IA dans la défense et la prévention de la cyberattaque
Bien que l’intelligence artificielle contribue à l’augmentation des attaques de force brute, elle peut également les déjouer. « L’IA a le potentiel de changer la donne de défense contre les attaques brutes et les attaques de rembourrage des diplômes », a déclaré Maynard.
Il a noté que les équipes de sécurité utilisent des solutions motivées par AI pour détecter les anomalies, analyser le comportement et automatiser les réponses aux attaques.
«L’IA est très bonne pour repérer les anomalies et les modèles. Par conséquent, l’IA peut être très utile pour regarder les tentatives de connexion, trouver un modèle et, espérons-le, suggérer des moyens de filtrer le trafic », a expliqué Kron.
Jason Soroko, vice-président directeur du produit de Sectigo, un fournisseur mondial de certificats numériques, a reconnu que l’IA pourrait aider les défenses en détectant les modèles de connexion anormaux et en exerçant une activité suspecte en temps réel, mais a indiqué que la forte authentification soit priorisée en premier.
«Bien que l’authentification puisse nécessite la gestion de l’identité pour l’échelle et les certificats numériques et autres facteurs de forme asymétrique forts nécessitent de l’approvisionnement et de la gestion du cycle de vie, ils peuvent offrir des avantages de sécurité très solides», a déclaré Soroko à Technewsworld.
Cependant, Bondi a prédit que l’IA annulera éventuellement la nécessité de références. « L’IA permet de combiner la détection des anomalies avec une correspondance avancée de motifs pour reconnaître des personnes spécifiques, pas des titres de compétences, avec des taux significativement inférieurs de faux positifs », a-t-elle déclaré.
L’IA peut également aider à fournir un contexte avec des alertes, ce qui permettra aux équipes de sécurité de hiérarchiser et de réagir plus rapidement aux vrais alertes tout en réduisant les faux positifs, a-t-elle ajouté.
« L’attente est que dans un avenir proche, l’IA sera également en mesure d’aider à prédire l’intention basée sur des actions et des techniques spécifiques d’une attaque », a observé Bondi. « Bien que les LLM ne soient pas encore capables de cela, ils pourraient être en quelques trimestres. »
