Retour d’expérience : cyberattaque au CHRU de Brest, que s’est-il passé ?
Le CERT-FR a mis en ligne un document qui revient en détail sur la cyberattaque qui a frappé le CHRU de Brest. Une lecture très intéressante qui permet s'en savoir plus sur le mode opératoire des cybercriminels, et notamment de savoir "par où ils sont passés" pour mettre un pied dans l'infrastructure du CHRU.
C'est le jeudi 9 mars 2023 aux alentours de 20h30 que la cyberattaque au CHRU de Brest a commencé. Orchestrée par les cybercriminels du groupe FIN12, d'ailleurs à l'origine de nombreuses attaques en France ces dernières années, cette cyberattaque a impacté les serveurs du CHRU.
Pour se connecter à l'infrastructure du CHRU, les cybercriminels ont utilisé les identifiants valides d'un professionnel de santé et ils se sont connectés sur un serveur exposé sur Internet en RDP. Les identifiants pourraient provenir d'un vol de données avec un malware de type info-stealer. Dans son rapport, le CERT-FR précise : "L’accès initial au système d’information a été effectué depuis un service de bureau à distance exposé et accessible sur Internet.", avant d'ajouter : "Deux acteurs pourraient donc être impliqués dans l’incident, un fournisseur d’accès initial et l’attaquant chargé de la latéralisation et du déploiement du rançongiciel."
Une fois connectés à l'infrastructure du CHRU, les cybercriminels ont tout d'abord déployé deux portes dérobées : SystemBC et Cobalt Strike dans le répertoire "C:\Users\Public\Music\" de la machine compromise.
Par la suite, pour tenter d'effectuer une élévation de privilèges, les cybercriminels ont tenté d'exploiter plusieurs failles de sécurité :
- CVE-2023-21746 appelée LocalPotato, corrigée en janvier 2023 par Microsoft et qui se situe dans le protocole NTLM
- CVE-2022-24521
Pour accéder aux données d'authentification, les cybercriminels ont utilisé plusieurs outils dont certains que les professionnels de la cybersécurité utilisent dans le cadre d'audit ou de test d'intrusion.
AccountRestore est un outil de bruteforce de comptes Active Directory qui a été documenté par SECURITY JOES. Mimikatz est un outil notamment utilisé pour extraire des authentifiants en environnement Windows. SharpRoast permet d’effectuer une attaque par kerberoasting.", précise le rapport du CERT-FR.
A cela s'ajoutent des outils comme PingCastle et BloodHound pour identifier les faiblesses de l'Active Directory ainsi que les chemins d'attaques potentiels, et l'outil Softperfect Network Scanner pour effectuer de la découverte réseau. Pour effectuer des mouvements latéraux, c'est-à-dire se déplacer d'une machine vers une autre, les attaquants ont tenté d'exploiter, sans y parvenir, plusieurs vulnérabilités bien connues : PrintNightmare (CVE-2021-34527), BlueKeep (CVE-2019-0708) et ZeroLogon (CVE-2020-1472).
Comment accéder au rapport du CERT-FR ?
Le CERT-FR, en accord avec Jean-Sylvain Chavanne, le RSSI du CHRU de Brest, a mis en ligne ce rapport que vous pouvez consulter sur cette page. Nous pouvons féliciter (et remercier) le CHRU de Brest pour sa transparence et la mise à disposition de cette analyse technique.
Terminons par cette citation de Jean-Sylvain Chavanne : "Ce rapport de CTI démontre notamment l'importance d'avoir une double authentification & une politique de patch des vulnérabilités, surtout les plus classiques, pour éviter les élévations de privilèges. L'apport de l'EDR aura été important également pour établir ces analyses."
Donc si on résume…
Machines pas a jour depuis des mois.
Pas d’antivirus EDR qui aurait pu détecter cela
Pas de double authentification sur les VPN.
J’espere que le DSI a bien gardé traces des mails de sa direction qui a certainement du lui dire que ses devis et préconisations étaient trop chères et ne servait a rien….
Pas faux mais ca sert à rien la meilleur protection si l’utilisateur fait comme il veut et laisse sa session aux pirates.
Le côté positif avec ces cyberattaques c que les patrons vont dire oui pour le dsi
Bien souvent même dans 95% des cas le DSI prévient mais la direction reste décisionnaire et je l’ai vu dans beaucoup d’hôpitaux ou même en entreprise… on prévient on prévient mais tant qu’il se passe rien… tout va bien jusqu’au jour où ça arrive.
De mon côté face à ce type de comportement je demande un mail ou autre document stipulant le refus pour justement responsabiliser la direction de leurs choix.
Et croyez le ou non mais ça change beaucoup lorsque l’on responsabilise la personne de ces choix-là.
Après concernant le SI des hôpitaux pour y avoir déjà travaillé c’est vraiment n’importe quoi, OS Win7, XP selon les machines avec accès internet, la collègue ayant connaissance du mdp boite mail etc… le fameux « 0000 » en mdp admin session local enfin bref selon l’établissement c’est pas top top…
Bonjour,
Ca montre surtout qu’il faut responsabiliser les utilisateurs et les sanctionner, voire virer si ils sont l’auteur de l’attaque…ca devait etre encore un medecin qui se croit tout puissant !! Qu’il paye de sa poche !