Selon les chercheurs en cybersécurité de Crowdstrike, un groupe de cybercriminels connu sous le nom de Scattered Spider utilise une vieille vulnérabilité présente dans les pilotes Intel pour contourner les mesures de protection de sécurité et accéder à des réseaux. Scattered Spider est une opération de cybercriminalité à motivation financière qui, d’après les chercheurs de Crowdstrike, s’intéresse particulièrement au secteur des télécommunications et de l’externalisation des activités. Leur but pourrait être d’accéder aux réseaux des opérateurs mobiles.
Les attaquants utilisent d’abord des attaques de phishing par SMS pour voler les noms d’utilisateur et les mots de passe. Dans certains cas, les attaquants ont également utilisé cet accès pour obtenir d’autres informations d’identification, tandis que le groupe se livrerait également à des attaques par SIM swapping.
Une fois à l’intérieur d’un réseau, Scattered Spider utilise une technique que Crowdstrike décrit comme « Bring Your Own Vulnerable Driver », qui cible les failles de la sécurité de Windows. Cette technique permet aux attaquants d’installer un pilote légitimement signé, mais malveillant pour mener des attaques.
Les certificats disposant d’une signature légitime ont souvent été volés. Quand ce n’est pas le cas, les attaquants ont trouvé des solutions de contournement leur permettant d’autosigner leurs propres certificats. Mais, quelle que soit la façon dont ils les obtiennent, ils peuvent ensuite exécuter et installer secrètement leurs propres pilotes sur des systèmes pour désactiver les produits de sécurité et dissimuler leur activité.
Pour réaliser cette opération de la manière la plus discrète possible, certains cybercriminels n’utilisent pas de logiciels malveillants. Au lieu de cela, ils installent plusieurs outils d’accès à distance légitimes, ce qui permet de persister sur le système compromis.
Selon l’analyse de Crowdstrike, la vulnérabilité en question, identifiée comme CVE-2015-2291, se trouve dans le pilote de diagnostic Intel Ethernet pour Windows. Elle permet aux cyberattaquants de diffuser des pilotes de noyau malveillants. Bien que cette vulnérabilité soit ancienne, lorsque le correctif n’a pas encore été appliqué sur un système, des attaquants peuvent toujours l’exploiter.
Il est important pour les victimes de ces attaques de prendre des mesures pour se protéger. Appliquer en priorité les correctifs aux pilotes vulnérables peut aider à atténuer ce vecteur d’attaque. Il est également important d’utiliser des outils de détection et de prévention d’intrusion pour repérer les activités malveillantes sur le réseau, ainsi que de renforcer les protocoles de sécurité pour éviter les attaques de phishing et de SIM swapping. Il est également utile de surveiller régulièrement les journaux de sécurité pour repérer les activités suspectes et de mettre en place des politiques de sécurité rigoureuses pour limiter l’accès aux systèmes sensibles. Il est également important de sensibiliser les employés aux risques de sécurité et de leur fournir une formation pour les aider à reconnaître les tentatives d’attaque et à adopter des pratiques sécurisées.
