Quatre nouveaux groupes de piratage ont rejoint une offensive en cours contre les serveurs de messagerie de Microsoft

Photo de Matthew Manuel sur Unsplash





Une campagne de piratage liée au gouvernement chinois révélée par Microsoft cette semaine s'est rapidement intensifiée. Au moins quatre autres groupes de piratage distincts s'attaquent désormais aux failles critiques du logiciel de messagerie de Microsoft dans le cadre d'une cybercampagne que le gouvernement américain décrit comme une exploitation nationale et internationale généralisée ayant un impact potentiel sur des centaines de milliers de victimes dans le monde.

À partir de janvier 2021, des pirates chinois connus sous le nom de Hafnium ont commencé à exploiter les vulnérabilités des serveurs Microsoft Exchange. Mais puisque l'entreprise publiquement révélé la campagne de mardi, quatre autres groupes se sont joints, et les pirates chinois d'origine ont abandonné la prétention de la furtivité et augmenté le nombre d'attaques qu'ils mènent. La liste croissante des victimes comprend des dizaines de milliers d'entreprises américaines et de bureaux gouvernementaux ciblés par les nouveaux groupes.

Il existe au moins cinq groupes d'activités différents qui semblent exploiter les vulnérabilités, explique Katie Nickels, qui dirige une équipe de renseignement de la société de cybersécurité Red Canary qui enquête sur les piratages. Lors du suivi des cybermenaces, les analystes du renseignement regroupent les groupes d'activités de piratage en fonction des techniques, tactiques, procédures, machines, personnes et autres caractéristiques spécifiques qu'ils observent. C'est un moyen de suivre les menaces de piratage auxquelles ils sont confrontés.



Hafnium est un groupe de piratage chinois sophistiqué qui mène depuis longtemps des campagnes de cyberespionnage contre les États-Unis, selon Microsoft. Ils sont un prédateur au sommet, exactement le genre qui est toujours suivi de près par des charognards opportunistes et intelligents.

L'activité est rapidement passée à la vitesse supérieure une fois que Microsoft a fait son annonce mardi. Mais exactement qui sont ces groupes de piratage, ce qu'ils veulent et comment ils accèdent à ces serveurs restent flous. Il est possible que le groupe Hafnium d'origine ait vendu ou partagé son code d'exploitation ou que d'autres pirates aient procédé à une rétro-ingénierie des exploits en fonction des correctifs publiés par Microsoft, explique Nickels.

Le défi est que tout cela est si trouble et qu'il y a tellement de chevauchements, dit Nickels. Ce que nous avons vu, c'est que depuis que Microsoft a publié sur Hafnium, il s'est étendu au-delà de Hafnium. Nous avons vu des activités qui semblent différentes des tactiques, des techniques et des procédures par rapport à ce qu'ils ont rapporté.



En exploitant les vulnérabilités des serveurs Microsoft Exchange, que les organisations utilisent pour exploiter leurs propres services de messagerie, les pirates sont capables de créer un shell Web (un outil de piratage accessible à distance qui permet facilement l'accès par porte dérobée et le contrôle de la machine infectée) qui leur permet de contrôler le serveur compromis sur Internet, puis pivoter pour voler des données sur l'ensemble du réseau de leur cible. Le shell Web signifie que même si Microsoft a publié des correctifs pour les failles - que seuls 10% des clients Exchange avaient appliqués vendredi, selon la société - l'adversaire a toujours un accès détourné à ses cibles.

L'application des correctifs logiciels de Microsoft est une première étape cruciale, mais l'effort de nettoyage total sera beaucoup plus compliqué pour de nombreuses victimes potentielles, en particulier lorsque les pirates se déplacent librement vers d'autres systèmes du réseau.

Nous travaillons en étroite collaboration avec CISA [the Cybersecurity and Infrastructure Security Agency], d'autres agences gouvernementales et des sociétés de sécurité, pour nous assurer que nous fournissons les meilleurs conseils et atténuations possibles à nos clients, a déclaré un porte-parole de Microsoft. La meilleure protection consiste à appliquer les mises à jour dès que possible sur tous les systèmes concernés. Nous continuons d'aider les clients en fournissant des conseils supplémentaires en matière d'investigation et d'atténuation. Les clients concernés doivent contacter nos équipes d'assistance pour obtenir de l'aide et des ressources supplémentaires.



Avec plusieurs groupes qui attaquent désormais les vulnérabilités, les piratages devraient affecter de manière disproportionnée les organisations qui peuvent le moins se permettre de se défendre contre eux, comme les petites entreprises, les écoles et les gouvernements locaux, mentionné Chris Krebs, ancien responsable américain de la cybersécurité.

Pourquoi, cependant ? Krebs demandé sur Twitter. Est-ce un flex dans les premiers jours de l'administrateur Biden pour tester sa résolution ? Est-ce un gang de cybercriminels incontrôlable ? Des entrepreneurs devenus fous ?

La récupération du piratage de SolarWinds pourrait prendre 18 mois

Le chef de l'agence qui dirige les efforts américains pour réparer une attaque de piratage russe affirme que la reconstruction prendra très longtemps.



Avec potentiellement des centaines de milliers de victimes dans le monde, cette campagne de piratage d'Exchange a touché plus de cibles que le piratage de SolarWinds que le gouvernement américain est actuellement en train de faire. en difficulté nettoyer. Mais, comme pour le piratage de SolarWinds, les chiffres ne font pas tout : les pirates informatiques russes à l'origine de SolarWinds étaient très disciplinés et se sont attaqués à des cibles spécifiques de grande valeur, même s'ils avaient potentiellement accès à plusieurs milliers de personnes.

La même chose est vrai ici. Même si les chiffres totaux sont alarmants, tous les compromis ne sont pas catastrophiques.

Tous ces éléments ne sont pas créés égaux, dit Nickels. Il existe des serveurs Exchange vulnérables où la porte est ouverte mais on ne sait pas si un adversaire est passé par là. Il y a des serveurs légèrement compromis ; peut-être qu'un shell Web est supprimé, mais rien de plus. Ensuite, il y a l'autre extrémité du spectre, où les adversaires ont eu une activité de suivi et se sont déplacés vers d'autres systèmes.

Il est rare que la Maison Blanche commente les problèmes de cybersécurité, mais l'administration Biden a eu beaucoup de raisons de parler de piratage au cours de ses deux premiers mois de mandat, entre le piratage de SolarWinds et ce dernier incident.

Nous craignons qu'il y ait un grand nombre de victimes et travaillons avec nos partenaires pour en comprendre l'ampleur, a déclaré la secrétaire de presse de la Maison Blanche, Jen Psaki, lors d'une conférence de presse vendredi après-midi. Les propriétaires de réseau doivent également déterminer s'ils ont déjà été compromis et doivent immédiatement prendre les mesures appropriées.

cacher