0

  • Votre panier est vide.

  • LOGIN

Les pirates informatiques chinois ont fait un nombre astronomique de victimes

Certains articles de veille peuvent faire l'objet de traduction automatique.

Quand les nouvelles arrivent en début de semaine que les pirates informatiques chinois étaient ciblant activement les serveurs Microsoft Exchange. La communauté de la cybersécurité a averti que les vulnérabilités du jour zéro qu’elle exploitait auraient pu lui permettre de frapper d’innombrables organisations dans le monde entier. Aujourd’hui, il est clair que seuls de nombreux serveurs de messagerie électronique ont été piratés. Selon toute apparence, le groupe connu sous le nom de Hafnium a fait autant de victimes qu’il a pu trouver sur l’internet mondial, laissant derrière lui des portes dérobées pour y revenir plus tard.

Hafnium a maintenant exploité les vulnérabilités « zero-day » des serveurs Exchange de Microsoft, Outlook Web Access, pour compromettre sans discernement pas moins de dizaines de milliers de serveurs de messagerie, selon des sources ayant connaissance de l’enquête sur la campagne de piratage qui ont parlé à WIRED. Les intrusions, repérées pour la première fois par la société de sécurité Volexity, ont commencé dès le 6 janvier, avec une hausse notable à partir de vendredi dernier et un pic en début de semaine. Les pirates semblent avoir réagi au patch de Microsoft, publié mardi, en intensifiant et en automatisant leur campagne de piratage. Un chercheur en sécurité impliqué dans l’enquête, qui a parlé à WIRED sous le couvert de l’anonymat, a estimé le nombre de serveurs Exchange piratés à plus de 30 000 rien qu’aux États-Unis, et à des centaines de milliers dans le monde entier, apparemment tous par le même groupe. Brian Krebs, journaliste indépendant spécialisé dans la cybersécurité a d’abord signalé que le chiffre de 30 000 vendredi en citant des sources qui avaient informé les responsables de la sécurité nationale.

« C’est énorme. Absolument massif », a déclaré à WIRED un ancien responsable de la sécurité nationale ayant connaissance de l’enquête. « On parle de milliers de serveurs compromis par heure, dans le monde entier. »

Lors d’une conférence de presse vendredi après-midi, l’attachée de presse de la Maison Blanche Jen Psaki a averti toute personne utilisant les serveurs Exchange concernés de mettre en œuvre immédiatement le correctif de Microsoft pour les vulnérabilités. « Nous sommes préoccupés par le grand nombre de victimes et nous travaillons avec nos partenaires pour comprendre la portée de ce problème », a déclaré Mme Psaki, qui a commenté, dans un rare cas, les vulnérabilités spécifiques de la cybersécurité. « Les propriétaires de réseaux doivent également se demander s’ils ont déjà été compromis et devraient immédiatement prendre les mesures appropriées ». Ce conseil de la Maison Blanche faisait écho à un tweet de L’ancien directeur de la Cybersécurité et de l’Agence de sécurité des infrastructures, Chris Krebs, a conseillé jeudi soir à toute personne ayant un serveur Exchange exposé de « supposer une compromission » et de commencer les mesures de réponse aux incidents pour supprimer l’accès des pirates.

Les réseaux touchés, qui comprennent probablement davantage ceux des petites et moyennes organisations que ceux des grandes entreprises qui ont tendance à utiliser des systèmes de courrier électronique dans le nuage, semblent avoir été piratés sans discernement au moyen d’un balayage automatisé. Les pirates ont installé un « shell web » – une porte dérobée accessible à distance et basée sur le web – sur les serveurs Exchange qu’ils exploitaient, leur permettant d’effectuer une reconnaissance sur les machines cibles et de se déplacer éventuellement vers d’autres ordinateurs du réseau.

Cela signifie que seul un petit nombre des centaines de milliers de serveurs piratés dans le monde sont susceptibles d’être activement ciblés par les pirates chinois, déclare Steven Adair, fondateur de Volexity. Néanmoins, toute organisation qui ne prend pas la peine de supprimer la porte dérobée des pirates reste compromise, et les pirates pourraient réintroduire leurs réseaux pour voler des données ou causer des dégâts jusqu’à ce que cette enveloppe web soit supprimée. « Un très grand nombre d’organisations prennent pied sur le terrain », explique Adair. « C’est une bombe à retardement qui peut être utilisée contre elles à tout moment.

Bien que la grande majorité des intrusions semblent n’avoir consisté qu’en ces coquilles web, l’échelle « astronomique » de ces compromis mondiaux est particulièrement inquiétante, a déclaré à WIRED un chercheur en sécurité qui a participé à l’enquête. Les organisations de petite et moyenne taille qui ont été compromises comprennent les agences gouvernementales locales, la police, les hôpitaux, Covid response, l’énergie, les transports, les aéroports et les prisons. « La Chine vient de posséder le monde – ou du moins tout le monde avec Outlook Web Access », a déclaré le chercheur. « Quand est-ce que quelqu’un a eu l’audace de frapper tout le monde? »

Voir aussi :

juin 17, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)