Actualités
Actualités Tech

Comment l’attaque de la Chine contre Microsoft s’est transformée en une attaque « imprudente »


Dans un premier temps, les hackers chinois ont mené une campagne prudente. Pendant deux mois, ils ont exploité les vulnérabilités du serveur de messagerie Microsoft Exchange, les ont soigneusement ciblés et ont volé furtivement des boîtes aux lettres entières. Lorsque les enquêteurs l’ont finalement attrapé, cela ressemblait à un espion en ligne typique – mais les choses se sont alors considérablement accélérées.

Vers le 26 février, l’opération étroite s’était transformée en quelque chose de beaucoup plus grand et bien plus de chaos. Quelques jours plus tard, Microsoft a divulgué publiquement les attaques – les pirates maintenant connus sous le nom de Hafnium – et a publié un correctif de sécurité. Mais alors, les attaquants cherchaient des cibles sur tout Internet: en plus des dizaines de milliers rapport victimes aux États-Unis, les gouvernements du monde notification qu’ils ont également été compromis. Aujourd’hui, au moins 10 groupes de piratage, dont la plupart sont des groupes de cyberespionnage soutenus par le gouvernement, exploitent des vulnérabilités sur des milliers de serveurs dans plus de 115 pays, suivre pour la société de sécurité ESET.

Pendant que le président Joe Biden réfléchissait représailles contre Des pirates informatiques russes ont attaqué une autre société de logiciels, SolarWinds, rendu public en décembre, le hack Hafnium s’est transformé en une attaque gratuite massive, et ses conséquences pourraient être encore pires. Alors que les experts se précipitaient pour combler les échappatoires ouvertes par le piratage chinois, les responsables ont déclaré que le gouvernement américain était étroitement concentré sur ce qui se passait à côté des milliers de serveurs nouvellement piratés – et comment traiter avec la Chine.

«Les passerelles sont ouvertes à tous les méchants qui veulent faire quoi que ce soit avec le serveur Exchange et une partie», a déclaré Sean Koessel, vice-président de Volexity, la société de cybersécurité qui a aidé à découvrir l’activité de piratage du reste de votre réseau. «Le meilleur cas est l’espionnage – quelqu’un veut juste voler vos données. Le pire des cas est que le ransomware l’envahit et le déploie sur l’ensemble du réseau.

La différence entre les deux attaques ne concerne pas seulement les détails techniques, ni même le pays qui les a menées. Bien que 18 000 entreprises aient téléchargé le logiciel SolarWinds compromis, le nombre de véritables cibles n’est qu’une fraction. Hafnium, quant à lui, est beaucoup plus aveugle.

«Ils ont tous deux commencé par des campagnes d’espionnage, mais la vraie différence réside dans la manière dont elles sont menées», a déclaré Dmitri Alperovitch, président de Silverado Policy Accelerator et cofondateur de la société de sécurité CrowdStrike. « La campagne russe SolarWinds est menée très soigneusement, où les Russes recherchent les cibles qui les intéressent et ils ferment l’accès partout ailleurs, de sorte qu’eux et n’importe qui d’autre puissent infiltrer la cible n’est pas intéressée. »

« Contrairement à la campagne chinoise », a-t-il dit.

«Le 27 février, ils ont réalisé que le patch sortait et ils ont en fait balayé le monde pour compromettre tout le monde. Ils laissent derrière eux des interfaces Web qui peuvent désormais permettre à d’autres d’accéder à ces réseaux, voire à des agents de rançongiciel. C’est pourquoi il est si imprudent, dangereux et nécessite un retour d’information. « 

Extraction de masse

Le lancement de la campagne Hafnium était « sur le radar », a déclaré Koessel.

L’attaque a été négligée par la plupart des tests de sécurité: elle n’a été découverte que lorsque Volexity a remarqué des demandes de trafic Internet étranges et spécifiques aux clients de l’entreprise exécutant le serveur, leur propre e-mail Microsoft Exchange.

Une enquête d’un mois a révélé que quatre rares exploits zero-day ont été utilisés pour voler des boîtes aux lettres entières – potentiellement dommageables pour les personnes et les entreprises impliquées, mais à ce stade, il y a très peu de victimes et les dégâts sont relativement limités. Volexity travaille avec Microsoft depuis des semaines pour corriger les vulnérabilités, mais Koessel dit avoir vu un grand changement fin février. Non seulement le nombre de victimes a commencé à augmenter, mais le nombre de groupes de pirates informatiques a également augmenté.

On ne sait pas combien de groupes de piratage gouvernementaux étaient au courant des vulnérabilités du jour zéro avant que Microsoft ne fasse une annonce publique. Alors pourquoi le niveau d’extraction explose-t-il? Peut-être que certains ont suggéré que les pirates informatiques avaient peut-être réalisé que leur temps était écoulé. S’ils savent qu’un correctif est à venir, comment le découvriront-ils?

«Je pense que c’est très rare de voir beaucoup [advanced hacking] Matthieu Faou, qui a dirigé la recherche sur les hacks Exchange pour ESET, a déclaré que les équipes ont accès à l’exploit alors que les détails ne sont pas rendus publics. « Il y a deux possibilités principales », a-t-il déclaré. Soit «les détails des vulnérabilités ont été divulgués aux acteurs de la menace» ou une autre équipe de recherche sur la vulnérabilité travaillant pour les acteurs de la menace «a découvert le même ensemble de vulnérabilités.

Volexity a regardé Hafnium se cacher dans les réseaux pendant un mois et a pris des mesures pour s’en débarrasser avant que Microsoft ne publie un correctif. Cela pourrait être la cause de l’escalade de Hafnium. Ou, suggère Alperovitch, les pirates auraient peut-être trouvé une autre façon d’introduire un correctif – les équipes de sécurité à l’échelle du secteur, y compris celles de Microsoft, échangent régulièrement des informations sur les vulnérabilités à l’avance, les lacunes et les corrections de bogues. Après l’annonce publique de Microsoft, même de nombreux groupes de hackers ont rejoint le combat.

«Un jour après la publication des correctifs, nous avons commencé à voir de plus en plus d’acteurs menaçants scanner et infiltrer les serveurs Exchange», a déclaré Faou. Tous les groupes de piratage actifs sauf un sont des groupes de piratage soutenus par le gouvernement qui se concentrent sur l’espionnage. « Cependant, il est inévitable que de plus en plus d’acteurs de la menace, y compris les opérateurs de ransomware, aient accès à l’exploit », a-t-il déclaré.

Au fur et à mesure que l’activité augmentait, Volexity a vu un autre changement de comportement: les pirates ont quitté le shell Web lorsqu’ils ont pénétré ces systèmes. Ce sont de simples outils de piratage qui permettent un accès constant et à distance aux machines infectées par des virus afin que les pirates puissent en prendre le contrôle. Ils peuvent être efficaces, mais ils sont également relativement bruyants et faciles à repérer.

Une fois qu’un pirate a déposé un shell sur une machine, il peut continuer à revenir jusqu’à ce qu’il soit nettoyé – même la correction des vulnérabilités d’origine causées par l’erreur ne peut pas effacer le shell. Mais le shell Web lui-même n’est généralement pas sécurisé et peut être accepté par d’autres pirates – d’abord pénétrer dans le serveur Exchange et voler le courrier électronique, puis attaquer l’ensemble du réseau.

«C’est une porte avec une serrure qui est facile à saisir», explique Alperovitch.

Un autre défi

Le piratage continue d’augmenter. Microsoft a pris une décision rare lundi en publiant des correctifs de sécurité pour les versions non prises en charge d’Exchange, qui seraient souvent trop anciens pour la sécurité – un signe de la gravité de l’attaque de l’entreprise. Microsoft a refusé de commenter.

Alors que la Maison Blanche pèse sur sa réponse, les risques vont augmenter. L’administration Biden fait lentement face à l’espionnage sophistiqué de SolarWinds, mais le chaos du hack Hafnium présente un défi complètement différent – à la fois en matière de dépannage et de réponse aux pirates.

«Il doit y avoir un message aux Chinois que cela est inacceptable», soutient Alperovitch. Les États-Unis doivent préciser que « nous les tiendrons responsables de tout dommage causé par des criminels profitant de cet accès », a-t-il dit, « et nous devons les pousser à supprimer les web shells. Débarrassez-vous de toutes les victimes dès que possible. que possible. « 



Source link

Laissez un commentaire