Actualités
Actualités Tech

Attaquer la Chine attaque des victimes «  astronomiques  »


Quand les nouvelles arrivent Plus tôt cette semaine, les hackers chinois ciblant activement les serveurs Microsoft ExchangeLa communauté de la cybersécurité avertit que les vulnérabilités zero-day qu’elles exploitent peuvent leur avoir permis d’attaquer d’innombrables organisations à travers le monde. Maintenant, il devient clair tout autant de serveurs de messagerie qu’ils ont piratés. Par toutes ces apparences, le groupe connu sous le nom de Hafnium a fait irruption dans de nombreuses victimes qu’ils pouvaient trouver sur Internet mondial, laissant les portes dérobées pour plus tard.

Hafnium a maintenant exploité la vulnérabilité zero-day Outlook Web Access du serveur Microsoft Exchange pour infiltrer sans discernement pas moins de dizaines de milliers de serveurs de messagerie, selon des sources bien informées sur l’enquête de la campagne. Les intrusions, découvertes pour la première fois par la société de sécurité Volexity, ont commencé dès le 6 janvier, avec un pic notable débutant vendredi dernier et un pic début janvier cette semaine. Les pirates semblent avoir répondu au correctif de Microsoft, publié mardi, en renforçant et en automatisant leurs campagnes de piratage. Un chercheur en sécurité impliqué dans l’enquête a parlé à WIRED sous couvert d’anonymat que le nombre de serveurs Exchange piratés était de plus de 30000 serveurs aux États-Unis seulement et des centaines de milliers dans le monde, tous par le même groupe. Journaliste indépendant en cybersécurité Brian Krebs rapporté pour la première fois, le chiffre était de 30000 vendredi, citant des sources ont déclaré aux responsables de la sécurité nationale.

« C’est énorme. C’est absolument gigantesque », a déclaré à WIRED un ancien responsable de la sécurité nationale au courant de l’enquête. « Nous parlons de milliers de serveurs compromis toutes les heures, dans le monde. »

Lors d’une conférence de presse vendredi après-midi, l’attachée de presse de la Maison Blanche, Jen Psaki, a averti quiconque exécutant les serveurs Exchange concernés d’implémenter immédiatement le correctif de vulnérabilité Microsoft. « Nous sommes préoccupés par le fait qu’il y ait un grand nombre de victimes et travaillons avec nos partenaires pour en comprendre la portée », a déclaré Psaki dans un cas rare de l’attaché de presse de la Maison Blanche. Discussion sur les vulnérabilités spécifiques de la sécurité du réseau. « Les propriétaires de réseau doivent également se demander s’ils ont été compromis et doivent immédiatement prendre les mesures appropriées. » Les conseils de la Maison Blanche répétés tweet de L’ancien directeur de l’infrastructure et de la cybersécurité Chris Krebs a conseillé jeudi soir à toute personne disposant d’un serveur Exchange exposé de « simuler un compromis » et d’initier des mesures de réponse aux incidents pour supprimer les droits d’accès des pirates.

Les réseaux concernés, qui peuvent inclure des réseaux de petites et moyennes organisations plutôt que de grandes entreprises qui ont tendance à utiliser des systèmes de messagerie basés sur le cloud, semblent avoir été piratés sans discernement par auto-scan. Les pirates ont créé un «shell Web» – un point d’ancrage distant basé sur le Web – sur les serveurs Exchange qu’ils exploitent, leur permettant d’espionner les machines cibles et de se déplacer vers d’autres ordinateurs du réseau.

Cela signifie que seule une petite poignée de centaines de milliers de serveurs piratés dans le monde sont susceptibles d’être activement ciblés par des pirates chinois, a déclaré Steven Adair, fondateur de Volexity. Cependant, toute organisation qui refuse de supprimer les portes dérobées des pirates reste compromise, et les pirates peuvent s’introduire dans leurs réseaux pour voler des données ou créer du désordre jusqu’à ce que ce shell Web soit supprimé. « Un grand nombre d’organisations prennent cette implantation très tôt », a déclaré Adair. « C’est une bombe minutée agressive qui peut être utilisée contre eux à tout moment. »

Bien que la majorité des intrusions semblent n’inclure que ces coquilles Web, l’échelle « astronomique » de ces intrusions mondiales est inquiétante, a déclaré à WIRED un chercheur en sécurité impliqué dans l’enquête. Les petites et moyennes organisations qui ont été compromises comprennent les agences gouvernementales locales, la police, les hôpitaux, la réponse de Covid, l’énergie, les transports, les aéroports et les prisons. « La Chine vient de posséder le monde – ou du moins tout le monde a Outlook Web Access », a déclaré le chercheur. « La dernière fois, quelqu’un a eu le courage de frapper Tout le monde? « 





Source link

Laissez un commentaire