LeMagIT a publié un retour d’expérience du RSSI du CHU de Brest suite à une cyberattaque ayant visé cette infrastructure le 9 mars dernier.
Voici le déroulé des évènements tels que relatés par le RSSI :
- En début de soirée (20h50), les équipes de sécurité reçoivent une alerte de leur
EDR
(Endpoint Detection and Response
) après avoir identifié une activité suspecte ; - Suite aux premières investigations, les équipes de sécurité pensent qu’il s’agit d’une potentielle phase de reconnaissance initiale entamée par un attaquant dans le SI ;
- Ces éléments, couplés aux journaux de firewall contenant des connexions aux serveurs internes, amènent à la décision d’isoler le réseau du CHU d’internet 2h30 après la première alerte. Cela a privé l’attaquant de connexion tout en permettant au SI de poursuivre les investigations ;
- Jusque tard dans la nuit, les équipes ont poursuivi leurs recherches, épaulées par l’ANSSI ;
- En parallèle, les services de soin fonctionnent en mode dégradé. Les consultations, les urgences et la maternité sont toujours assurées.
- Le lendemain matin (8h), un prestataire spécialisé en réponse à incident intervient et explique quelques heures plus tard que les identifiants du collaborateur auraient été volés par un
infostealer
. De plus, le prestataire confirme que l’attaquant n’est pas parvenu à élever ses privilèges ni à établir de persistances au sein du SI, telles que la mise en place de portes dérobées (backdoor) ou la création de nouveaux comptes utilisateurs.
Le RSSI précise que le serveur C2 utilisé par l’attaquant n’a pas permis de faire le rapprochement avec un groupe d’attaquants particulier.
Enfin, le responsable de la sécurité des SI évoque les enjeux liés au déploiement d’un EDR au sein de son SI de 8000 utilisateurs et 350 serveurs. Au moment de l’attaque, ce dernier était en « phase d’épuration des nombreux faux positifs ». De fait, l’EDR identifiait régulièrement des exécutables non signés, suspectés d’être malveillants, alors qu’il s’agissait en réalité d’exécutables légitimes mais non signés par les équipementiers biomédicaux.
Dans l’ensemble, le retour d’expérience des équipes est positif avec le maintien d’un niveau minimum de service hospitalier et la (bonne) décision de couper internet, stoppant l’attaque en cours.