22/11/2024

Actu Cybersécurité

Retour d’expérience : cyberattaque au CHRU de Brest, que s’est-il passé ?

Le CERT-FR a mis en ligne un document qui revient en détail sur la cyberattaque qui a frappé le CHRU de Brest. Une lecture très intéressante qui permet s'en savoir plus sur le mode opératoire des cybercriminels, et notamment de savoir "par où ils sont passés" pour mettre un pied dans l'infrastructure du CHRU.

C'est le jeudi 9 mars 2023 aux alentours de 20h30 que la cyberattaque au CHRU de Brest a commencé. Orchestrée par les cybercriminels du groupe FIN12, d'ailleurs à l'origine de nombreuses attaques en France ces dernières années, cette cyberattaque a impacté les serveurs du CHRU.

Pour se connecter à l'infrastructure du CHRU, les cybercriminels ont utilisé les identifiants valides d'un professionnel de santé et ils se sont connectés sur un serveur exposé sur Internet en RDP. Les identifiants pourraient provenir d'un vol de données avec un malware de type info-stealer. Dans son rapport, le CERT-FR précise : "L’accès initial au système d’information a été effectué depuis un service de bureau à distance exposé et accessible sur Internet.", avant d'ajouter : "Deux acteurs pourraient donc être impliqués dans l’incident, un fournisseur d’accès initial et l’attaquant chargé de la latéralisation et du déploiement du rançongiciel."

Une fois connectés à l'infrastructure du CHRU, les cybercriminels ont tout d'abord déployé deux portes dérobées : SystemBC et Cobalt Strike dans le répertoire "C:\Users\Public\Music\" de la machine compromise.

Par la suite, pour tenter d'effectuer une élévation de privilèges, les cybercriminels ont tenté d'exploiter plusieurs failles de sécurité :

  • CVE-2023-21746 appelée LocalPotato, corrigée en janvier 2023 par Microsoft et qui se situe dans le protocole NTLM
  • CVE-2022-24521

Pour accéder aux données d'authentification, les cybercriminels ont utilisé plusieurs outils dont certains que les professionnels de la cybersécurité utilisent dans le cadre d'audit ou de test d'intrusion. 

AccountRestore est un outil de bruteforce de comptes Active Directory qui a été documenté par SECURITY JOES. Mimikatz est un outil notamment utilisé pour extraire des authentifiants en environnement Windows. SharpRoast permet d’effectuer une attaque par kerberoasting.", précise le rapport du CERT-FR.

A cela s'ajoutent des outils comme PingCastle et BloodHound pour identifier les faiblesses de l'Active Directory ainsi que les chemins d'attaques potentiels, et l'outil Softperfect Network Scanner pour effectuer de la découverte réseau. Pour effectuer des mouvements latéraux, c'est-à-dire se déplacer d'une machine vers une autre, les attaquants ont tenté d'exploiter, sans y parvenir, plusieurs vulnérabilités bien connues : PrintNightmare (CVE-2021-34527), BlueKeep (CVE-2019-0708) et ZeroLogon (CVE-2020-1472).

Comment accéder au rapport du CERT-FR ?

Le CERT-FR, en accord avec Jean-Sylvain Chavanne, le RSSI du CHRU de Brest, a mis en ligne ce rapport que vous pouvez consulter sur cette page. Nous pouvons féliciter (et remercier) le CHRU de Brest pour sa transparence et la mise à disposition de cette analyse technique.

Terminons par cette citation de Jean-Sylvain Chavanne : "Ce rapport de CTI démontre notamment l'importance d'avoir une double authentification & une politique de patch des vulnérabilités, surtout les plus classiques, pour éviter les élévations de privilèges. L'apport de l'EDR aura été important également pour établir ces analyses."

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

4 commentaires sur “Retour d’expérience : cyberattaque au CHRU de Brest, que s’est-il passé ?

  • Donc si on résume…

    Machines pas a jour depuis des mois.
    Pas d’antivirus EDR qui aurait pu détecter cela
    Pas de double authentification sur les VPN.

    J’espere que le DSI a bien gardé traces des mails de sa direction qui a certainement du lui dire que ses devis et préconisations étaient trop chères et ne servait a rien….

    Répondre
    • Pas faux mais ca sert à rien la meilleur protection si l’utilisateur fait comme il veut et laisse sa session aux pirates.

      Le côté positif avec ces cyberattaques c que les patrons vont dire oui pour le dsi

      Répondre
    • Bien souvent même dans 95% des cas le DSI prévient mais la direction reste décisionnaire et je l’ai vu dans beaucoup d’hôpitaux ou même en entreprise… on prévient on prévient mais tant qu’il se passe rien… tout va bien jusqu’au jour où ça arrive.

      De mon côté face à ce type de comportement je demande un mail ou autre document stipulant le refus pour justement responsabiliser la direction de leurs choix.

      Et croyez le ou non mais ça change beaucoup lorsque l’on responsabilise la personne de ces choix-là.

      Après concernant le SI des hôpitaux pour y avoir déjà travaillé c’est vraiment n’importe quoi, OS Win7, XP selon les machines avec accès internet, la collègue ayant connaissance du mdp boite mail etc… le fameux « 0000 » en mdp admin session local enfin bref selon l’établissement c’est pas top top…

      Répondre
  • Bonjour,
    Ca montre surtout qu’il faut responsabiliser les utilisateurs et les sanctionner, voire virer si ils sont l’auteur de l’attaque…ca devait etre encore un medecin qui se croit tout puissant !! Qu’il paye de sa poche !

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.