Actualités Tech

A1 Telekom Austria Group : fin de la cyberattaque de six mois

A1 Telekom Austria Group: Sechsmonatiger Cyberangriff wurde beendet

Comme l’a officiellement annoncé la première entreprise de télécommunications d’Autriche, A1 Telekom Austria, elle a récemment pu mettre fin à une cyber-attaque sur son réseau qui durait depuis des mois et chasser l’agresseur. Les données des clients n’ont été compromises à aucun moment, a déclaré la société à la ORF.

Un beau cadeau

C’était juste avant Noël 2019 et bien avant la pandémie mondiale COVID 19, lorsque le département de sécurité informatique interne de l’entreprise, le Computer Emergency Response Team (CERT), a découvert des logiciels malveillants dans l’environnement de bureau de l’entreprise. Il s’agissait d’un logiciel malveillant qui, comme il s’est avéré plus tard, servait de porte dérobée pour que des attaquants inconnus puissent l’utiliser pour pénétrer dans l’environnement des bureaux de A1 Telekom Austria.

Une course contre la montre

Déjà un mois avant leur découverte par le CERT, en novembre 2019, les attaquants ont réussi à s’introduire dans le réseau de la plus grande entreprise de télécommunications autrichienne. Wolfgang Schwabl, responsable de la cybersécurité chez A1-Telekom, et son équipe avaient pour mission de protéger plus de 15 000 systèmes informatiques, plus de 12 000 serveurs et plusieurs milliers d’applications. Le réseau A1 est utilisé pour de nombreuses transactions bancaires ainsi que le réseau de soins de santé, une infrastructure critique dont le fonctionnement sans faille doit être garanti.

100 spécialistes contre l’agresseur

Parfois, plus de 100 employés et experts ont été appelés pour chasser l’agresseur du réseau. Une mesure qui semblait nécessaire était que l’agresseur obtienne des droits administratifs et ouvre des comptes administratifs. Les spécialistes se sont donc d’abord occupés des infrastructures critiques.

Dès que nous avons appris l’attaque, notamment que l’attaquant possède également des comptes administratifs, nous avons immédiatement commencé à suspendre l’infrastructure critique afin qu’elle ne soit pas accessible même avec un compte d’administrateur.

Wolfgang Schwabl, agent de sécurité Cyer

Attaque du réseau de bureaux

Les analyses des systèmes touchés ont montré que l’attaquant avait compromis le réseau du bureau. Cependant, la manière dont l’attaquant a pu s’y rendre est restée longtemps incertaine. En conséquence, bien qu’aucun logiciel malveillant n’ait été trouvé, les experts ont remarqué que l’attaquant a examiné de près le réseau de A1 Telekom Austria en utilisant des comptes d’administrateur et a essayé d’analyser les structures des bases de données.

Des spécialistes soupçonnent l’espionnage

La « Blue Team », comme on appelait le groupe d’experts, analysait à son tour chaque étape de l’attaque, qui semblait ne pas s’intéresser aux données.

Les experts supposent que l’attaque a été menée par une société d’espionnage dans le but d’obtenir des informations sur la structure et la mise en place du réseau A1. Des groupes tels que APT5, APT3, Turla ainsi que « Dark Hotel » et le kit de logiciels malveillants de la NSA « Regin » sont, entre autres, suspects de cette cyber-attaque.

Des logiciels très courants ont été utilisés dans l’attaque, de sorte qu’elle a été à peine remarquée. Seule la façon dont il a été utilisé était inhabituelle. Les autorités que nous avons consultées n’ont pas non plus été en mesure d’établir une attribution claire. Mais il ne semblait pas être un « criminel de droit commun ».

Wolfgang Schwabl, agent de sécurité Cyer

Finales reportées en raison du coronavirus

Les plans stratégiques prévoyaient que tous les mots de passe de tous les systèmes soient réinitialisés simultanément le 21 mars, afin que l’attaque puisse être repoussée hors du réseau. Mais c’est alors que la crise de Corona et les restrictions associées ont commencé. Cela signifiait que le bureau à domicile et la planification de l’équipe devaient être revus.

Un jeu de rattrapage réussi

Deux mois plus tard, le 22 mai 2020, l’équipe de 100 personnes, avec l’aide de 10 000 systèmes supplémentaires, a réussi à réinitialiser tous les mots de passe et à couper l’attaquant de toutes les cachettes possibles. Les environnements Windows et UNIX ont été complètement remis à zéro, ce qui a chassé l’agresseur du réseau.

En gros, il a fallu trois étapes : vous devez vous isoler de toute relation extérieure, vous devez réinitialiser complètement le magasin de mots de passe ou, dans le département, le domaine, vous devez en fait régénérer le ticket Kerberos et ensuite tous les utilisateurs doivent se donner de nouveaux mots de passe.

En d’autres termes, tous les mots de passe, sans exception, ont été définis comme « non valables », de sorte qu’il n’y a pas de possibilité de les cacher. Nous l’avons fait à la fois dans les environnements Microsoft et Unix.

Wolfgang Schwabl, agent de sécurité Cyer

Le groupe A1 Telekom Austria affirme avoir considérablement renforcé sa défense entre-temps. En outre, aucune donnée sur les clients n’a été compromise pendant toute la durée de l’attaque, qui a duré six mois.

La rédaction tient à remercier le membre de la communauté et le modérateur « burnout150 » pour la note sur cette nouvelle.

Partager cet article
Robin Vigneron

About author
Robin est un passionné de nouvelles technologies et il n'hésites pas à creuser le web pour vous trouver les meilleurs bons plans et astuce High-Tech !
Articles