Cyberattaques azure vulnérabilités Iot avec ACI Technology

Attaques Azure et vulnérabilités IoT : Une menace croissante en cybersécurité

Cybersécurité
Cyrille Jeunehomme

Cyrille Jeunehomme - CEO d'ACI Technology

30 novembre 2024

Attaques Azure et vulnérabilités IoT : Une menace croissante en cybersécurité

Depuis août 2023, les cyberattaques sur les comptes Azure et les vulnérabilités critiques des appareils IoT, comme les caméras PTZ, soulèvent de grandes inquiétudes. Découvrez les détails de ces menaces et comment protéger vos infrastructures.

CovertNetwork-1658 : Un botnet ciblant Azure

Le botnet CovertNetwork-1658, connu aussi sous les noms de xlogin et Quad7, utilise des routeurs compromis pour mener des attaques de pulvérisation de mots de passe. Voici les détails techniques :

Caractéristiques techniques

  • Durée moyenne d’activité : 90 jours avant détection.
  • Infrastructures compromises : Routeurs TP-Link SOHO avec backdoors.
  • Volume d’attaques : 8 000 adresses IP simultanées, une tentative par jour dans 80 % des cas.
Schéma de fonctionnement du botnet CovertNetwork-1658

Storm-0940 : Un groupe derrière ces attaques

Ces campagnes sont attribuées à un groupe de cybercriminels, Storm-0940, surveillé par Microsoft. Ces attaquants exploitent les comptes Azure pour établir des points d’ancrage persistants, installer des RAT et exfiltrer des données sensibles.

Bien que leur activité ait ralenti grâce à l’attention des experts en cybersécurité, ils préparent une mise à jour de leur infrastructure pour échapper aux systèmes de détection.

Caméras PTZ et vulnérabilités zero-day : CVE-2024-8956 et CVE-2024-8957

Les caméras PTZ sont exposées à deux vulnérabilités critiques :

  • CVE-2024-8956 : Donne accès aux informations sensibles comme les noms d’utilisateur et mots de passe hachés.
  • CVE-2024-8957 : Permet l’injection de commandes pour prendre le contrôle total des appareils sans authentification.

Comment se protéger face à ces menaces ?

Pour les utilisateurs Azure :

  • Mettez en place une authentification multifacteur (MFA).
  • Changez régulièrement vos mots de passe et utilisez des gestionnaires sécurisés comme Bitwarden.
  • Surveillez les connexions suspectes via Microsoft Defender for Cloud.

Pour les systèmes IoT :

  • Mettez à jour les micrologiciels vers les versions sécurisées.
  • Sécurisez vos réseaux IoT avec une segmentation efficace.
  • Surveillez vos appareils avec des solutions comme GreyNoise.

Résumé des attaques Azure et des vulnérabilités IoT

AspectDescriptionImpactSolution/Recommandation
Botnet CovertNetwork-1658Un réseau d’appareils infectés (principalement des routeurs TP-Link SOHO), utilisé pour des attaques de pulvérisation de mots de passe sur Azure.Compromission de comptes Azure. Accès aux données sensibles. Propagation de logiciels malveillants.Activer l’authentification multifacteur (MFA). Surveiller les connexions suspectes. Utiliser des solutions comme Microsoft Defender for Cloud.
Vulnérabilités CVE-2024-8956 et CVE-2024-8957Failles critiques dans les caméras réseau PTZ, permettant l’accès aux identifiants et la prise de contrôle total des appareils.Visualisation et modification des flux vidéo. Ajout des appareils à des botnets DDoS. Accès non autorisé aux configurations.Mettre à jour les micrologiciels des appareils IoT. Sécuriser les réseaux avec une segmentation efficace. Surveiller les appareils avec des solutions comme Zabbix ou GreyNoise.
Technique de pulvérisation de mots de passeEssais répétés de mots de passe courants sur de nombreux comptes, plutôt que sur un seul compte.Augmentation des risques de compromission. Accès non autorisé à des infrastructures cloud critiques.Utiliser des mots de passe complexes et uniques. Mettre en place des alertes pour les tentatives de connexion inhabituelles. Former les utilisateurs sur les bonnes pratiques en matière de mots de passe.
Groupe Storm-0940Un groupe de cybercriminels opérant en Amérique du Nord et en Europe, responsable de l’exploitation du botnet CovertNetwork-1658.Exfiltration de données sensibles. Installation de points d’ancrage persistants (RAT). Développement de chaînes d’attaques complexes.Effectuer des audits de sécurité réguliers. Renforcer la sécurité des accès aux comptes cloud. Surveiller les activités inhabituelles sur les réseaux.

Besoin d’un audit de sécurité ? Contactez-nous pour renforcer la sécurité de vos systèmes et protéger votre entreprise contre les cybermenaces.

👉 Demander un audit gratuit

Publié par ACI Technology, expert en cybersécurité et solutions IT.

Contactez-nous pour bénéficier de nos services managés et protéger vos infrastructures critiques.

FAQ : Tout savoir sur les attaques Azure et les vulnérabilités IoT

1. Qu’est-ce que le botnet CovertNetwork-1658 ?

Le botnet CovertNetwork-1658, également connu sous les noms de xlogin ou Quad7 (7777), est un réseau d’appareils infectés (principalement des routeurs TP-Link SOHO). Il est utilisé pour effectuer des attaques de pulvérisation de mots de passe sur les comptes Azure, permettant aux cybercriminels de voler des identifiants et d’infiltrer les réseaux.

2. Pourquoi les comptes Azure sont-ils ciblés ?

Les comptes Azure contiennent souvent des données sensibles et permettent d’accéder à des infrastructures cloud critiques. Une fois compromis, les cybercriminels peuvent :

  • Installer des logiciels malveillants comme des RAT (Remote Access Trojans).
  • Accéder à d’autres systèmes au sein de l’entreprise.
  • Lancer des attaques comme le vol de données ou le déploiement de ransomwares.

3. Que signifie « pulvérisation de mots de passe » ?

La pulvérisation de mots de passe, ou password spraying, est une méthode d’attaque brute force. Les attaquants testent un nombre limité de mots de passe courants sur de nombreux comptes, plutôt que de cibler un seul compte avec un grand nombre de mots de passe. Cela permet de réduire les chances de détection.

4. Quels sont les impacts des vulnérabilités IoT sur les caméras PTZ ?

Les vulnérabilités CVE-2024-8956 et CVE-2024-8957 affectent les caméras réseau PTZ et permettent aux attaquants de :

  • Accéder aux identifiants des utilisateurs et aux configurations des caméras.
  • Prendre le contrôle total des appareils sans authentification.
  • Intégrer les caméras à des botnets pour mener des attaques DDoS.

5. Quels appareils IoT sont concernés ?

Les appareils affectés incluent des caméras PTZ avec des versions de micrologiciel inférieures à 6.3.40, notamment ceux fabriqués par :

  • PTZOptics
  • Multicam Systems SAS
  • SMTAV Corporation

Ces caméras sont utilisées dans des contextes sensibles, comme les salles d’audience, les hôpitaux ou les environnements industriels.

6. Comment se protéger des attaques de botnet et des vulnérabilités IoT ?

Voici quelques recommandations :

Pour Azure :

  • Activez l’authentification multifacteur (MFA).
  • Surveillez les connexions suspectes avec des outils comme Microsoft Defender for Cloud.
  • Changez régulièrement vos mots de passe.

Pour les appareils IoT :

  • Mettez à jour les micrologiciels vers les versions les plus récentes.
  • Segmentez vos réseaux pour limiter les impacts en cas d’attaque.
  • Utilisez des solutions de surveillance proactive telles que Zabbix ou GreyNoise.

7. Qui est Storm-0940 ?

Storm-0940 est un groupe de cybercriminels suivi par Microsoft. Ils sont responsables des attaques utilisant le botnet CovertNetwork-1658 pour cibler des comptes Azure, exfiltrer des données et installer des logiciels malveillants.

8. Les cyberattaques sur Azure sont-elles en augmentation ?

Oui, Microsoft a constaté une intensification des attaques en 2023, notamment celles utilisant des techniques de pulvérisation de mots de passe. Ces attaques sont souvent efficaces et difficiles à détecter, ce qui les rend particulièrement préoccupantes.

9. Comment savoir si mon entreprise est touchée ?

Voici quelques indices :

  • Surveillez les logs d’accès de vos comptes Azure pour détecter des tentatives de connexion inhabituelles ou répétées.
  • Vérifiez si vos appareils IoT utilisent des micrologiciels obsolètes.
  • Utilisez des solutions de détection de menaces, comme des honeypots, pour surveiller l’activité malveillante.

10. Que faire si mon système est compromis ?

Pour Azure :

  • Réinitialisez immédiatement les mots de passe des comptes affectés.
  • Désactivez les sessions suspectes.
  • Effectuez un audit complet de sécurité.

Pour les appareils IoT :

  • Déconnectez les appareils compromis.
  • Appliquez les mises à jour de micrologiciels nécessaires.
  • Réinitialisez les appareils aux paramètres d’usine et reconfigurez-les.

11. Comment ACI Technology peut m’aider ?

Chez ACI Technology, nous proposons :

  • Des audits de cybersécurité pour évaluer les vulnérabilités de vos systèmes.
  • Des solutions de surveillance proactive pour vos infrastructures cloud et IoT.
  • Une assistance en cas de compromission pour rétablir rapidement la sécurité.

👉 Contactez-nous dès aujourd’hui pour sécuriser votre entreprise !