Comment Scattered Spider a utilisé de faux appels pour pirater Clorox via Cognizant

Le géant des produits de nettoyage Clorox a poursuivi son partenaire de services informatiques, Cognizant, alléguant qu'une attaque de ransomware dévastatrice d'août 2023 qui a paralysé la production et coûté à l'entreprise 380 millions de dollars en perte de revenus était due à la négligence de l'entreprise.

Dans une action en justice devant la Cour supérieure de Californie, Clorox affirme que des pirates informatiques liés au groupe Scattered Spider ont simplement obtenu des identifiants en appelant le service client de Cognizant pour réinitialiser leur mot de passe. Clorox allègue également que Cognizant a bâclé sa réponse, prolongeant ainsi le délai de récupération.

Specops Software, une société d'analyse de sécurité, a publié une analyse détaillée de cet incident, révélant précisément comment cette attaque simple du service d'assistance s'est déroulée et offrant des leçons cruciales pour les organisations.

Selon leurs recherches , partagées avec Hackread.com, l'incident a débuté le 11 août 2023. Des attaquants, se faisant passer pour des employés légitimes, ont appelé à plusieurs reprises le service d'assistance de Cognizant. Leur objectif : obtenir les mots de passe et les réinitialisations de l'authentification multifacteur ( MFA ) des employés bloqués.

Malgré les procédures claires de Clorox, l'agent du service client aurait contourné ces protocoles, omettant de vérifier l'identité de l'appelant et de fournir de nouveaux identifiants. Pour couronner le tout, aucun courriel d'alerte n'a été envoyé à l'employé usurpé ni à son responsable – une notification de base qui aurait pu alerter l'équipe de sécurité de Clorox.

Les pirates ont ensuite réitéré cette tactique, accédant à un second compte appartenant à un employé de la sécurité informatique. Leur accès aux privilèges d'administrateur de domaine a ainsi été instantanément élevé, leur donnant ainsi un accès illimité à l'environnement Active Directory principal de Clorox, qui contrôle l'accès des utilisateurs sur le réseau.

Munis d'identifiants de haut niveau, les intrus ont rapidement désactivé les contrôles de sécurité, renforcé leurs privilèges et déployé un rançongiciel sur des serveurs clés. Ces attaques ont chiffré silencieusement les données, coupant ainsi les liens vitaux entre la fabrication, la distribution et les systèmes informatiques. Les lignes de production ont été interrompues et l'exécution des commandes a été interrompue. Clorox a déclaré 49 millions de dollars de dépenses directes de remédiation et un manque à gagner colossal de 380 millions de dollars.

Le risque d'externaliser des fonctions critiques de support informatique, bien que permettant des économies, peut introduire des vulnérabilités. Le distributeur britannique Marks and Spencer's a notamment été confronté à un incident similaire : Scattered Spider a piégé le personnel de son prestataire de support informatique, Tata Consultancy Services (TCS), en lui faisant réinitialiser ses identifiants privilégiés, obtenant ainsi un accès à Active Directory.

Cet incident met en lumière la menace constante posée par Scattered Spider (alias 0ktapus, UNC3944). Comme l'a rapporté Hackread.com, ce groupe a été impliqué dans de nombreuses violations de sécurité de grande envergure, notamment contre MGM Resorts et d'autres grandes enseignes .

Leur exploitation persistante des services d'assistance pour cibler les environnements VMware vSphere pour le déploiement de ransomwares directement depuis l'hyperviseur vers l'incident Clorox montre que de simples vulnérabilités humaines, si elles ne sont pas traitées, peuvent conduire à une dévastation financière et opérationnelle monumentale.

Pour atténuer ces risques, les organisations doivent appliquer des accords de niveau de service (SLA) stricts avec leurs sous-traitants, mener régulièrement des simulations d'attaques sur les processus externalisés et exiger un reporting transparent et en temps réel des activités à haut risque. Il est crucial de verrouiller les autorisations du centre de services afin d'empêcher les agents de réinitialiser les comptes d'administrateur ou de service informatique sans processus d'approbation secondaire.