211service.com
Comment l'attaque de la Chine contre Microsoft s'est transformée en une frénésie de piratage imprudente
Demetrius Freeman-Pool/Getty Images
Au début, les pirates chinois ont mené une campagne prudente. Pendant deux mois, ils ont exploité les faiblesses des serveurs de messagerie Microsoft Exchange, choisi leurs cibles avec soin et volé furtivement des boîtes aux lettres entières. Lorsque les enquêteurs ont finalement compris, cela ressemblait à de l'espionnage en ligne typique, mais les choses se sont ensuite accélérées de façon spectaculaire.
Vers le 26 février, l'opération étroite s'est transformée en quelque chose de beaucoup plus grand et beaucoup plus chaotique. Quelques jours plus tard, Microsoft a divulgué publiquement les hacks - les pirates sont maintenant connus sous le nom de Hafnium - et a publié un correctif de sécurité. Mais à ce moment-là, les attaquants cherchaient des cibles sur l'ensemble d'Internet : en plus des dizaines de milliers de signalé victimes aux États-Unis, les gouvernements du monde entier sont annonçant qu'eux aussi étaient compromis. Aujourd'hui, au moins 10 groupes de piratage, dont la plupart sont des équipes de cyberespionnage soutenues par le gouvernement, exploitent les vulnérabilités de milliers de serveurs dans plus de 115 pays, selon à la société de sécurité ESET.
Histoire connexe
Comment les fiducies de données peuvent protéger la vie privée Nous ne pouvons pas nous attendre à ce que les gens naviguent seuls dans le monde déroutant de la collecte de données. Il est temps d'unir nos forces.
Alors que le président Joe Biden envisage représailles contre la Des pirates russes dont l'attaque contre une autre société de logiciels, SolarWinds , rendu public en décembre, le piratage d'Hafnium est devenu un énorme jeu gratuit, et ses conséquences pourraient être encore pires. Alors que les experts se précipitent pour combler les trous ouverts par le piratage chinois, les responsables affirment que le gouvernement américain se concentre de près sur ce qui se passe à côté de milliers de serveurs nouvellement vulnérables et sur la manière de répondre à la Chine.
Les portes sont grandes ouvertes à tout acteur malveillant qui veut faire quoi que ce soit sur votre serveur Exchange et le reste de votre réseau, déclare Sean Koessel, vice-président de Volexity, la société de cybersécurité qui a aidé à découvrir l'activité de piratage. Le meilleur des cas est l'espionnage - quelqu'un qui veut juste voler vos données. Dans le pire des cas, un rançongiciel entre et se déploie sur l'ensemble du réseau.
La distinction entre les deux attaques ne concerne pas seulement les détails techniques, ni même le pays qui les a commis. Bien que 18 000 entreprises aient téléchargé le logiciel SolarWinds compromis, le nombre de véritables cibles n'était qu'une fraction de cette taille. Hafnium, quant à lui, était beaucoup plus aveugle.
Les deux ont commencé comme des campagnes d'espionnage, mais la différence réside vraiment dans la façon dont elles ont été menées, explique Dmitri Alperovitch, président du Silverado Policy Accelerator. La campagne russe SolarWinds a été menée avec beaucoup de soin, où les Russes se sont attaqués aux cibles qui les intéressaient et ils ont fermé l'accès partout ailleurs, de sorte que ni eux ni personne d'autre ne puissent accéder aux cibles qui ne les intéressaient pas.
Comparez cela avec la campagne chinoise, dit-il.
Le 27 février, ils réalisent que le patch va sortir, et ils scannent littéralement le monde pour compromettre tout le monde. Ils ont laissé des shells Web qui peuvent désormais permettre à d'autres d'accéder à ces réseaux, potentiellement même à des acteurs de ransomwares. C'est pourquoi c'est très imprudent, dangereux et il faut y répondre.
Exploitation en masse
Le début de la campagne Hafnium était très discret, dit Koessel.
Le piratage a été manqué par la plupart des contrôles de sécurité : il n'a été repéré que lorsque Volexity a remarqué des demandes de trafic Internet étranges et spécifiques adressées aux clients de l'entreprise qui utilisaient leurs propres serveurs de messagerie Microsoft Exchange.
Une enquête d'un mois a montré que quatre rares exploits zero-day étaient utilisés pour voler des boîtes aux lettres entières, potentiellement dévastatrices pour les personnes et les entreprises impliquées, mais à ce stade, il y avait peu de victimes et les dégâts étaient relativement limités. Volexity a travaillé avec Microsoft pendant des semaines pour corriger les vulnérabilités, mais Koessel dit avoir vu un changement majeur fin février. Non seulement le nombre de victimes a commencé à augmenter, mais il y a également eu une augmentation du nombre de groupes de piratage.
On ne sait pas comment plusieurs groupes de piratage gouvernementaux ont pris connaissance des vulnérabilités du jour zéro avant que Microsoft ne fasse une annonce publique. Alors pourquoi l'ampleur de l'exploitation a-t-elle explosé ? Certains suggèrent peut-être que les pirates ont réalisé que leur temps était presque écoulé. S'ils savaient qu'un patch arrivait, comment l'ont-ils découvert ?
Je pense qu'il est très rare de voir autant de groupes différents [de piratage avancé] ayant accès à l'exploit d'une vulnérabilité alors que les détails ne sont pas publics, déclare Matthieu Faou, qui dirige la recherche sur les hacks Exchange pour ESET. Il y a deux grandes possibilités, dit-il. Soit les détails des vulnérabilités ont été divulgués d'une manière ou d'une autre aux acteurs de la menace, soit une autre équipe de recherche sur les vulnérabilités travaillant pour les acteurs de la menace a découvert indépendamment le même ensemble de vulnérabilités.
Volexity a observé Hafnium se cacher dans les réseaux pendant un mois et a pris des mesures pour les expulser avant que Microsoft ne publie un correctif. Cela aurait pu être le déclencheur qui a fait grimper Hafnium. Ou, suggère Alperovitch, les pirates auraient pu trouver un autre moyen pour qu'un correctif arrive - les équipes de sécurité de tout le secteur, y compris celles de Microsoft, échangent régulièrement des informations sur les vulnérabilités et les correctifs à l'avance. Une fois que Microsoft a fait l'annonce publique, encore plus de groupes de piratage ont rejoint la mêlée.
Le lendemain de la publication des correctifs, nous avons commencé à observer de nombreux autres acteurs de la menace scannant et compromettant en masse les serveurs Exchange, explique Faou. Tous les groupes de piratage actifs sauf un sont des équipes de piratage connues soutenues par le gouvernement et axées sur l'espionnage. Cependant, il est inévitable que de plus en plus d'acteurs malveillants, y compris les opérateurs de ransomwares, aient accès aux exploits tôt ou tard, dit-il.
Au fur et à mesure que l'activité s'intensifiait, Volexity a vu un autre changement de comportement : les pirates ont laissé des shells Web lorsqu'ils ont pénétré dans ces systèmes. Ce sont de simples outils de piratage qui permettent un accès persistant et à distance aux machines infectées afin que le pirate puisse les contrôler. Ils peuvent être efficaces, mais ils sont aussi relativement bruyants et faciles à repérer.
Une fois que les pirates ont déposé un shell sur une machine, ils peuvent continuer à revenir jusqu'à ce qu'il soit nettoyé. Même la correction des vulnérabilités initialement en cause ne nettoiera pas les shells. Mais le shell Web lui-même est à peine sécurisé et peut être récupéré par d'autres pirates, d'abord pour s'introduire dans les serveurs Exchange et voler des e-mails, puis pour attaquer des réseaux entiers.
C'est une porte avec une serrure facile à crocheter, explique Alperovitch, cofondateur de la société de sécurité CrowdStrike qui a quitté l'entreprise l'année dernière.
Un défi différent
Le piratage continue de s'intensifier. Microsoft a pris la rare décision lundi de publier des correctifs de sécurité pour les versions non prises en charge d'Exchange qui seraient normalement trop anciennes pour être sécurisées, signe de la gravité de l'attaque. Microsoft a refusé de commenter.
Alors que la Maison Blanche pèse une réponse, le risque grandit. L'administration Biden s'occupe lentement de l'espionnage sophistiqué de SolarWinds, mais le chaos des hacks d'Hafnium présente un défi entièrement différent, à la fois pour résoudre le problème et pour répondre aux pirates qui se cachent derrière.
Il faut qu'un message soit envoyé aux Chinois que c'est inacceptable, soutient Alperovitch. Les États-Unis doivent indiquer clairement que nous allons les tenir responsables de tout dommage résultant d'acteurs criminels tirant parti de cet accès, dit-il, et nous devons les pousser à supprimer ces coques Web de toutes les victimes dès que possible.