De Franse overheid heeft een waarschuwing afgegeven voor supply chain-aanvallen die via serviceproviders en ingenieursbureaus verlopen. Aanvallers proberen toegang tot de netwerken van deze partijen te krijgen om vervolgens hun klanten aan te vallen, aldus onderzoek van het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI).

Om toegang tot de netwerken van de serviceproviders en ingenieursbureaus te krijgen maken de aanvallers gebruik van slecht beveiligde services die via het internet toegankelijk zijn, phishingmails en gelekte inloggegevens. Nadat er initieel toegang is verkregen stelen de aanvallers vpn-gegevens om vervolgens daarmee het netwerk te benaderen. Om zich binnen het netwerk te bewegen gebruiken de aanvallers gestolen RDP-gegevens, Netscan-commando's en WMIExec-scripts.

Het eerste doel van de aanvallers is om te achterhalen hoe de providers en ingenieursbureaus verbinding met hun klanten maken. Zodra dit duidelijk is worden de klantnetwerken benaderd en relevante informatie gestolen. "Hoewel de complexiteit van de tools die de aanvallers gebruiken vrij laag is, zijn ze goed georganiseerd in het verwijderen en uitschakelen van alle activiteitenlogs op de systemen die ze benaderen", aldus het onderzoeksrapport.

Aangezien de aanvallers voornamelijk gebruikmaken van legitieme inloggegevens en tools, zoals ProcDump, CertMig, WMIexec, WinRAR, MimiKatz en Netscan, is IoC-gebaseerde detectie onvoldoende, zo stellen de onderzoekers. Indicators of compromise (IOCs) zijn aanwijzingen waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. In dit geval zijn IOCs dus onvoldoende. Wel bevat het onderzoeksrapport verschillende ip-adressen van de vpn-diensten en Tor-servers die de aanvallers gebruiken, alsmede hun mac-adressen.

Tevens doet ANSSI verschillende aanbevelingen voor zowel serviceproviders als hun klanten. Serviceproviders moeten klanten scheiden, een lijst met de verbindingen van klanten maken en die monitoren, security-monitoring instellen en it-systemen op veilige wijze beheren. Deze adviezen gelden deels ook voor de klanten van providers, aangevuld met het advies om verminderde rechten toe te kennen aan externe partijen.