Retour d’expérience : cyberattaque au CHRU de Brest, que s’est-il passé ?

Le CERT-FR a mis en ligne un document qui revient en détail sur la cyberattaque qui a frappé le CHRU de Brest. Une lecture très intéressante qui permet s'en savoir plus sur le mode opératoire des cybercriminels, et notamment de savoir "par où ils sont passés" pour mettre un pied dans l'infrastructure du CHRU.

C'est le jeudi 9 mars 2023 aux alentours de 20h30 que la cyberattaque au CHRU de Brest a commencé. Orchestrée par les cybercriminels du groupe FIN12, d'ailleurs à l'origine de nombreuses attaques en France ces dernières années, cette cyberattaque a impacté les serveurs du CHRU.

Pour se connecter à l'infrastructure du CHRU, les cybercriminels ont utilisé les identifiants valides d'un professionnel de santé et ils se sont connectés sur un serveur exposé sur Internet en RDP. Les identifiants pourraient provenir d'un vol de données avec un malware de type info-stealer. Dans son rapport, le CERT-FR précise : "L’accès initial au système d’information a été effectué depuis un service de bureau à distance exposé et accessible sur Internet.", avant d'ajouter : "Deux acteurs pourraient donc être impliqués dans l’incident, un fournisseur d’accès initial et l’attaquant chargé de la latéralisation et du déploiement du rançongiciel."

Une fois connectés à l'infrastructure du CHRU, les cybercriminels ont tout d'abord déployé deux portes dérobées : SystemBC et Cobalt Strike dans le répertoire "C:\Users\Public\Music\" de la machine compromise.

Par la suite, pour tenter d'effectuer une élévation de privilèges, les cybercriminels ont tenté d'exploiter plusieurs failles de sécurité :

• CVE-2023-21746 appelée LocalPotato, corrigée en janvier 2023 par Microsoft et qui se situe dans le protocole NTLM
• CVE-2022-24521

Pour accéder aux données d'authentification, les cybercriminels ont utilisé plusieurs outils dont certains que les professionnels de la cybersécurité utilisent dans le cadre d'audit ou de test d'intrusion. 

AccountRestore est un outil de bruteforce de comptes Active Directory qui a été documenté par SECURITY JOES. Mimikatz est un outil notamment utilisé pour extraire des authentifiants en environnement Windows. SharpRoast permet d’effectuer une attaque par kerberoasting.", précise le rapport du CERT-FR.

A cela s'ajoutent des outils comme PingCastle et BloodHound pour identifier les faiblesses de l'Active Directory ainsi que les chemins d'attaques potentiels, et l'outil Softperfect Network Scanner pour effectuer de la découverte réseau. Pour effectuer des mouvements latéraux, c'est-à-dire se déplacer d'une machine vers une autre, les attaquants ont tenté d'exploiter, sans y parvenir, plusieurs vulnérabilités bien connues : PrintNightmare (CVE-2021-34527), BlueKeep (CVE-2019-0708) et ZeroLogon (CVE-2020-1472).

Comment accéder au rapport du CERT-FR ?

Le CERT-FR, en accord avec Jean-Sylvain Chavanne, le RSSI du CHRU de Brest, a mis en ligne ce rapport que vous pouvez consulter sur cette page. Nous pouvons féliciter (et remercier) le CHRU de Brest pour sa transparence et la mise à disposition de cette analyse technique.

Terminons par cette citation de Jean-Sylvain Chavanne : "Ce rapport de CTI démontre notamment l'importance d'avoir une double authentification & une politique de patch des vulnérabilités, surtout les plus classiques, pour éviter les élévations de privilèges. L'apport de l'EDR aura été important également pour établir ces analyses."