La liste des administrations et des entreprises tombant sous le feu de cyberattaques ne cesse de croitre. Le CHU de BREST en a fait les frais le 9 mars 2023. Dans son interview donnée à NoLimitSecu, le RSSI du CHU de Brest, Jean-Sylvain Chavanne revient sur cette cyberattaque pour nous en expliquer son déroulé tel qu’il l’a vécu de l’intérieur et les leçons qu’il en a tirées.
Comment s’est déroulée la cyberattaque
Tout commence par l’utilisation d’un login et mot de passe valides qui ont permis aux attaquants d’accéder à un service de bureau à distance du CHU de Brest exposé sur internet. Les pirates, une fois connectés, ont utilisé cet accès pour déployer des portes dérobées sur le serveur. Ils ont tenté d’exploiter des vulnérabilités connues, ils ont aussi téléchargé des outils pour explorer le réseau et connaitre les configurations de l’AD. Enfin, ils ont essayé d’exploiter des vulnérabilités de cet actif afin de se latéraliser, avant d’être interrompu dans leur attaque.
Le CHU s’en est sorti avec « simplement » une coupure volontaire d’internet qui leur a valu quelques semaines d’interruption de service et de service dégradé. Mais le CHU a évité le pire, comme le déploiement d’un ransomware qui aurait pu rendre inopérable l’ensemble de son SI pendant plusieurs mois. Le CERT-FR décrit en détail, dans son rapport, les outils et méthodologies utilisés par les attaquants.
Au coeur de la cyberattaque
Ce 9 mars 2023, à 20h50, le RSSI du CHU de Brest reçoit un appel de l’ANSSI, l’avertissant que des requêtes suspectes sont réalisées depuis le SI du CHU vers un serveur d’attaquant avec un matricule interne au CHU de Brest. Les informations données sont vérifiées. Une attaque est belle et bien en cours d’exécution sur le SI du CHU de Brest. A 22h30, la décision est prise de « couper le CHU d’internet » et 3 cellules de crises sont mises en place : la première pour mener les investigations, la seconde est dédiée à l’AD et la troisième a pour but de prendre en compte les impacts métier suite à la décision de se couper d’internet et de mettre en oeuvre des procédures dégradées.
A 6h du matin, 2 autres cellules de crises prennent le relai. La première est dédiée aux impacts métiers et à leur priorisation et la seconde est dédiée à la mise en oeuvre techniques des solutions. Cela a notamment conduit à la réutilisation des fax pour envoyer les résultats d’imagerie médicale.
La coupure totale d’internet a duré 2 semaines. Ensuite, les accès à internet ont été rétablis petit à petit, en mettant en place une ouverture via une liste blanche, avec près de 800 règles implémentées, pendant les 2 semaines suivantes. Un audit conforme de l’AD a permis de prendre la décision de rouvrir internet de façon contrôlée.
Comment l’attaque aurait pu être évitée?
A l’origine de la cyberattaque, il y a le vol et l’usurpation d’un login et d’un mot de passe valides, qui étaient utilisés sur un ordinateur personnel d’un employé du CHU, sur lequel un information stealer était déployé. Cette authentification permettait d’accéder à un service exposé sur internet. A la suite de cette attaque, le CHU a investi dans des PC portables, dont la sécurité est gérée par le CHU. Une double authentification a été mise en oeuvre pour accéder aux applications exposées sur internet. Celles-ci sont de plus uniquement accessible par des PC du CHU et via un VPN. Le RSSI déplore qu’il ne savait pas que les EDR n’avaient pas été déployés sur l’ensemble de son SI et que cet angle mort a peut-être retardé la détection de cette attaque.
On note que les actifs du CHU étaient à jour et patchés ce qui n’a pas permis aux attaquants d’utilisés des vulnérabilités connues et facilement exploitables. Enfin, une détection rapide de l’ANSSI a permis de limiter l’impact de l’attaque. Est- ce que la prochaine administration ou société aura la même chance?
