Des événements majeurs ont secoué le domaine de la cybersécurité, rappelant l’importance cruciale de protéger nos infrastructures critiques et de maintenir la vigilance face aux menaces émergentes. Nous allons explorer trois actualités marquantes : retour sur la cyberattaque des hôpitaux londoniens, une vulnérabilité majeure dans OpenSSH, et une opération mondiale contre les usages illégaux de Cobalt Strike.
Les hôpitaux de Londres touchés par une cyberattaque
Le 5 juin 2024, plusieurs grands hôpitaux londoniens ont été victimes d’une cyberattaque visant leur fournisseur de services, Synnovis. Cette attaque par supply chain a eu des répercussions dramatiques sur plusieurs services médicaux.
En ciblant Synnovis, les attaquants ont exploité les failles dans la chaîne d’approvisionnement pour infiltrer le réseau de plusieurs hôpitaux sans être directement détectés.
King’s College Hospital, Guy’s et St Thomas font partie des établissements touchés. Ian Abbs, président de Guy’s et de St Thomas NHS Foundation Trust, a déclaré :
“Je peux confirmer que notre partenaire pour la pathologie, Synnovis, a connu un incident informatique majeur plus tôt dans la journée, et qui est toujours en cours”
L’attaque par ransomware, attribuée au groupe criminel russe Qillin, a d’abord retardé les opérations de six hôpitaux britanniques. Ensuite, elle a contraint à l’annulation de nombreuses interventions non urgentes, y compris des procédures pour le cancer et des accouchements par césarienne. Par conséquent, les conséquences sont graves, avec des retards de plusieurs semaines pour obtenir les résultats d’examens pathologiques, perturbant ainsi les soins aux patients. Cette attaque souligne la vulnérabilité des chaînes d’approvisionnement numériques et l’importance de sécuriser chaque maillon pour éviter de telles catastrophes.
RegreSSHion
Une vulnérabilité critique (CVE-2024-6387) a été découverte dans OpenSSH, affectant les systèmes Linux basés sur glibc (GNU C Library). Révélée par l’unité de recherche sur les menaces de Qualys, cette faille est due à une condition de concurrence du gestionnaire de signaux. Elle permet à des attaquants non authentifiés d’exécuter du code en tant que superutilisateur. Les versions d’OpenSSH postérieures à 8.5p1 sont vulnérables, réintroduisant une faille de 2006 (CVE-2006-5051).
Plus de 14 millions de serveurs OpenSSH sont potentiellement exposés, ce qui nécessite une application rapide des correctifs disponibles. Heureusement, les systèmes OpenBSD ne sont pas affectés, grâce à un mécanisme de gestion des signaux sécurisé développé en 2001. Il est essentiel pour les administrateurs système de vérifier leurs versions d’OpenSSH et de mettre à jour immédiatement pour prévenir toute exploitation de cette vulnérabilité.
Un article approfondi sur les aspects techniques de cette vulnérabilité est en cours de rédaction.
Opération mondiale contre les usages illégaux de Cobalt Strike
Une importante opération coordonnée par Europol, baptisée Morpheus, a visé les usages illégaux du logiciel de test d’intrusion Cobalt Strike. Conçu à l’origine pour les professionnels de la sécurité, ce logiciel est souvent détourné par des cybercriminels pour lancer des attaques sophistiquées.
Contexte de l’Opération Morpheus
Entre le 24 et le 28 juin 2024, Europol a mené une opération internationale visant à neutraliser les serveurs hébergeant des versions piratées de Cobalt Strike. Cette opération, dirigée par la National Crime Agency (NCA) du Royaume-Uni, a mobilisé les forces de l’ordre de 27 pays, y compris l’Allemagne, l’Australie, le Canada, les Pays-Bas, la Pologne et les États-Unis, avec un soutien supplémentaire de pays comme la Bulgarie, la Finlande, le Japon et la Corée du Sud.
Un Outil Détourné
Comme je l’ai mentionné précédemment, les experts en cybersécurité utilisent Cobalt Strike pour simuler des attaques et tester la résilience des systèmes informatiques. Cependant, des cybercriminels ont volé et modifié des versions piratées de ce logiciel, le rendant accessible à des hackers moins expérimentés.
Ces versions piratées ont simplifié le hacking. Désormais, une personne avec très peu de connaissances peut facilement se lancer dans le piratage, lancer des attaques de rançongiciel et créer des logiciels malveillants sans une expertise technique approfondie.
Résultats de l’opération
Cette opération a ciblé 690 adresses IP dans 27 pays, perturbant ainsi les infrastructures utilisées par les criminels. Fortra, la société propriétaire de Cobalt Strike, collabore activement avec les forces de l’ordre pour prévenir les abus de son logiciel. Cette initiative marque une avancée significative dans la lutte contre la cybercriminalité, en perturbant les outils essentiels des attaquants et en renforçant la coopération internationale.
En plus de désactiver ces serveurs, l’opération a permis de partager plus de 730 éléments de renseignement sur les menaces, contenant près de 1,2 million d’indicateurs de compromission. Europol a également organisé plus de 40 réunions de coordination entre les agences de la loi et les partenaires privés au cours des trois ans d’enquête
Les sources
Très important de partager ces sources :
Opération Morpheus
- Clubic – Opération Morpheus : Europol démantèle près de 600 serveurs liés au malware Cobalt Strike
- Tom’s Guide – Le malware Cobalt Strike visé par une opération d’Europol : près de 600 serveurs démantelés
- Bleeping Computer – Europol takes down 593 Cobalt Strike servers used by cybercriminals
Les hôpitaux de Londres touchés par une cyberattaque
RegreSSHion – Vulnérabilité dans OpenSSH
N’hésitez pas à laisser un commentaire si vous avez des questions ❓, des suggestions à ajouter ✍️, ou si vous appréciez mon travail 😊.
J’ai rédigé un autre article sur le Cisco Live qui a eu lieu le mois dernier. Découvrez-le ici : https://lenaicksorimoutou.com/cisco-live-2024-ia-et-cybersecurite/
