Les attaques de pirate contre la France: la dangereuse campagne de Houken expose les faiblesses!

Frankreichs ANSSI warnt vor der Houken-Hacking-Kampagne, die Zero-Day-Schwachstellen in Ivanti ausnutzt. Angriffe auf kritische Sektoren.
L'ANSSI de la France met en garde contre la campagne de piratage de Houken qui exploite les points faibles zéro jour à Ivanti. Attaques contre les secteurs critiques. (Symbolbild/WOM87)

Les attaques de pirate contre la France: la dangereuse campagne de Houken expose les faiblesses!

Frankreich - Au cours des derniers mois, le paysage de la cybersécurité en France a frappé de violentes vagues. Cela est dû à une campagne de piratage que l'ANSSI de la cybersécurité française a examiné de plus près. Il rapporte une série d'attaques spécifiquement dirigées contre le gouvernement, les soins et les secteurs privés du pays. Cela est dû à plusieurs points faibles de zéro jour dans l'appareil de service cloud Ivanti, qui sert d'objectif pour les réseaux sensibles. Ces vulnérabilités, documentées comme CVE 2024-8190, CVE-2024-8963 et CVE-2024-9380, ont permis aux attaquants d'accéder à des données précieuses et de faire sonner les alarmes avec les autorités de sécurité. Dès septembre 2024, les premières activités de ce joueur de menace, connues sous le nom de nom de code "Houken", ont été enregistrées. ANSSI soupçonne que Houken est exploité par un acteur connecté aux attaques qui se sont déroulées sous la désignation UNC5174 et ont été précédemment analysées par Mandiant. Cette forme de cybercriminalité pourrait être organisée par une entité privée qui a revendue les informations collectées aux zones liées à l'État.

Les attaques de Houken avaient une orientation cible claire: les organisations dans les domaines du gouvernement, des télécommunications, des médias, des finances et des transports. ANSSI a documenté que ces attaquants étaient particulièrement qualifiés en termes d'utilisation de techniques avancées pour la pénétration du réseau. Il a été constaté qu'ils utilisaient non seulement des faiblesses zéro-jour, mais aussi une boîte à outils complète des outils répréhensibles, y compris des coquilles de boutiques PHP modifiées et même des rootkits Linux personnalisés qui ont pu embaucher le trafic TCP.

Le processus évolutif des attaques

Le rapport de dégâts sur Houken montre que les attaquants se sont également profilés par l'accès à déplacement latéralement ou la récolte d'identification, ce qui signifie non seulement qu'ils se sont connectés aux systèmes, mais ont également essayé d'obtenir d'autres autorisations. Un cas d'exiltration de données a même été signalé, dans lequel Massif a été déduit des courriels du ministère des Affaires étrangères d'un pays sud-américain. L'expertise technique et opérationnelle des attaquants indique une "approche multipartite", qui souligne la complexité de leurs méthodes.

Ensuite, ANSSI a constaté qu'il y avait un manque significatif de segmentation dans la plupart des systèmes concernés. Il est clair que de nombreuses organisations ont pris des précautions de sécurité inadéquates et que les risques peuvent accepter des proportions désagréables. L'enquête montre que l'infrastructure de Houken est non seulement profonde et en profondeur, mais aussi stratégiquement des VPN commerciaux, des serveurs dédiés et différentes adresses IP de différents pays constituent le soutien de leurs activités. Un développement inquiétant qui met l'ensemble de l'industrie sous pression.

Pourquoi l'accent mis sur les points faibles du jour zéro?

L'année 2023 a montré que les cyberattaques sont principalement dues à l'utilisation de points faibles à jour zéro. Selon un rapport, 97 points faibles ont été identifiés cette année, ce qui représente une augmentation de plus de 50% par rapport à l'année précédente. Ces vulnérabilités ne se sont pas seulement limitées aux plates-formes utilisateur finales - les technologies axées sur l'entreprise ont également été affectées, ce qui souligne la nécessité d'améliorer les mesures de sécurité et d'agir plus proactive. Une grande partie de ces jours zéro a été utilisé par les acteurs d'espionnage, la Chine jouant un rôle de premier plan.

En mettant clairement l'accent sur les faiblesses zéro-tag et les développements actuels liés aux attaques de Houken, il est essentiel pour les entreprises d'améliorer les protocoles de sécurité et de montrer la vigilance. La menace de Houken et d'autres acteurs similaires demeure et augmente la pression sur les organisations du monde entier. L'utilisation de jours zéro est considérée non seulement comme un outil d'espionnage, mais aussi pour les rendements financiers, ce qui est un défi stratégique sérieux.

Un aperçu de la menace de Houken montre finalement que les temps pour les professionnels de la cybersécurité ne sont pas plus faciles. Comme l'ANSI et d'autres analystes de la sécurité résument, la situation reste tendue, et il faut s'attendre à ce que ces attaquants continuent de profiter des faiblesses de la sécurité du système. Avec les technologies qui se développent davantage, les mécanismes de défense doivent également suivre.

Pour plus de détails sur les faiblesses concernées et l'ensemble de la situation de risque, les rapports complets peuvent être trouvés sur le record , Security en ligne href = "https://www.security-insider.de/zero-schwachstellen-2023-analysis-dlage-a-51795735b91efcce6223265f17/"> Insider de sécurité

Details
OrtFrankreich
Quellen