France World

Comment l’attaque de la Chine contre Microsoft s’est transformée en une frénésie de piratage «téméraire»

Au début, les hackers chinois ont mené une campagne prudente. Pendant deux mois, ils ont exploité les faiblesses des serveurs de messagerie Microsoft Exchange, choisi leurs cibles avec soin et volé furtivement des boîtes aux lettres entières. Lorsque les enquêteurs ont fini par comprendre, cela ressemblait à de l’espionnage en ligne typique, mais les choses se sont ensuite accélérées de façon spectaculaire.

Vers le 26 février, l’opération étroite s’est transformée en quelque chose de beaucoup plus grand et de beaucoup plus chaotique. Quelques jours plus tard, Microsoft a divulgué publiquement les hacks – les hackers sont désormais connus sous le nom de Hafnium – et a publié un correctif de sécurité. Mais à ce moment-là, les attaquants recherchaient des cibles sur tout Internet: en plus de dizaines de milliers de signalé victimes aux États-Unis, les gouvernements du monde annonçant qu’ils ont été compromis aussi. Aujourd’hui, au moins 10 groupes de piratage, dont la plupart sont des équipes de cyberespionnage soutenues par le gouvernement, exploitent les vulnérabilités de milliers de serveurs dans plus de 115 pays, selon à la société de sécurité ESET.

Alors que le président Joe Biden envisage représailles contre les hackers russes dont l’attaque contre une autre société de logiciels, SolarWinds, est devenue publique en décembre, le hack Hafnium est devenu un énorme free-for-all, et ses conséquences pourraient être encore pires. Alors que les experts sprintent pour combler les trous ouverts par le piratage chinois, les responsables affirment que le gouvernement américain se concentre étroitement sur ce qui se passe à côté de milliers de serveurs nouvellement vulnérables – et comment répondre à la Chine.

«Les portes sont grandes ouvertes à tout mauvais acteur qui veut faire quoi que ce soit sur votre serveur Exchange et le reste de votre réseau», déclare Sean Koessel, vice-président de Volexity, la société de cybersécurité qui a aidé à découvrir l’activité de piratage. «Le meilleur cas est l’espionnage – quelqu’un qui veut juste voler vos données. Le pire des cas est l’entrée et le déploiement de ransomwares sur l’ensemble du réseau. »

La distinction entre les deux attaques ne concerne pas seulement les détails techniques, ni même le pays qui les a commis. Bien que 18 000 entreprises aient téléchargé le logiciel SolarWinds compromis, le nombre de véritables cibles ne représentait qu’une fraction de cette taille. Hafnium, quant à lui, était beaucoup plus aveugle.

«Les deux ont commencé comme des campagnes d’espionnage, mais la différence réside vraiment dans la manière dont elles ont été menées», déclare Dmitri Alperovitch, président du Silverado Policy Accelerator et cofondateur de la société de sécurité CrowdStrike. «La campagne russe SolarWinds a été menée avec beaucoup de soin, où les Russes se sont attaqués aux cibles qui leur tenaient à cœur et ont fermé l’accès partout ailleurs, afin que ni eux ni personne d’autre ne puissent accéder à ces cibles qui ne les intéressaient pas.

«Comparez cela avec la campagne chinoise», dit-il.

«Le 27 février, ils réalisent que le correctif va sortir, et ils scrutent littéralement le monde pour compromettre tout le monde. Ils ont laissé des coquilles Web qui peuvent désormais permettre à d’autres d’accéder à ces réseaux, voire aux acteurs du ransomware. C’est pourquoi c’est très imprudent, dangereux et auquel il faut réagir. »

Exploitation en masse

Le début de la campagne Hafnium était «très méconnu», dit Koessel.

Le piratage a été manqué par la plupart des contrôles de sécurité: il n’a été repéré que lorsque Volexity a remarqué des demandes de trafic Internet étranges et spécifiques aux clients de l’entreprise qui exploitaient leurs propres serveurs de messagerie Microsoft Exchange.

Une enquête d’un mois a montré que quatre rares exploits zero-day étaient utilisés pour voler des boîtes aux lettres entières – potentiellement dévastatrices pour les individus et les entreprises impliqués, mais à ce stade, il y avait peu de victimes et les dégâts étaient relativement limités. Volexity a travaillé avec Microsoft pendant des semaines pour corriger les vulnérabilités, mais Koessel dit avoir vu un changement majeur à la fin du mois de février. Non seulement le nombre de victimes a commencé à augmenter, mais le nombre de groupes de pirates informatiques a également augmenté.

Il n’est pas clair comment plusieurs groupes de piratage gouvernementaux ont pris conscience des vulnérabilités du jour zéro avant que Microsoft ne fasse une annonce publique. Alors pourquoi l’ampleur de l’exploitation a-t-elle explosé? Peut-être, certains suggèrent-ils, que les pirates ont peut-être réalisé que leur temps était presque écoulé. S’ils savaient qu’un patch allait arriver, comment l’ont-ils découvert?

«Je pense qu’il est très rare de voir autant de [advanced hacking] les groupes ayant accès à l’exploit pour une vulnérabilité alors que les détails ne sont pas publics », explique Matthieu Faou, qui mène des recherches sur les hacks Exchange pour ESET. «Il existe deux possibilités majeures», dit-il. Soit «les détails des vulnérabilités ont été divulgués aux acteurs de la menace», soit une autre équipe de recherche sur les vulnérabilités travaillant pour les acteurs de la menace «a découvert de manière indépendante le même ensemble de vulnérabilités».

Volexity a regardé Hafnium se cacher à l’intérieur des réseaux pendant un mois et a pris des mesures pour les expulser avant que Microsoft ne publie un correctif. Cela aurait pu être le déclencheur qui a fait grimper Hafnium. Ou, suggère Alperovitch, les pirates auraient pu trouver une autre façon de faire venir un correctif: les équipes de sécurité de tout le secteur, y compris celles de Microsoft, échangent régulièrement des informations sur les vulnérabilités et les correctifs à l’avance. Une fois que Microsoft a fait l’annonce publique, encore plus de groupes de hackers ont rejoint la mêlée.

«Le lendemain de la publication des correctifs, nous avons commencé à observer de nombreux autres acteurs menaçants scanner et compromettre en masse les serveurs Exchange», déclare Faou. Tous les groupes de piratage actifs, à l’exception d’un seul, sont des équipes de piratage reconnues soutenues par le gouvernement et axées sur l’espionnage. «Cependant, il est inévitable que de plus en plus d’acteurs de la menace, y compris les opérateurs de ransomwares, aient tôt ou tard accès aux exploits», dit-il.

Au fur et à mesure que l’activité s’intensifiait, Volexity a vu un autre changement de comportement: les pirates ont laissé des web shells lorsqu’ils ont pénétré ces systèmes. Ce sont de simples outils de piratage qui permettent un accès persistant et distant aux machines infectées afin que le pirate puisse les contrôler. Ils peuvent être efficaces, mais ils sont également relativement bruyants et faciles à repérer.

Une fois que les pirates ont déposé un shell sur une machine, ils peuvent continuer à revenir jusqu’à ce qu’il soit nettoyé – même la correction des vulnérabilités à l’origine en faute ne nettoiera pas les shells. Mais le shell Web lui-même est à peine sécurisé et peut être coopté par d’autres pirates – d’abord pour pénétrer dans les serveurs Exchange et voler des e-mails, puis pour attaquer des réseaux entiers.

«C’est une porte avec une serrure qui se sélectionne facilement», explique Alperovitch.

Un défi différent

Le piratage continue de s’intensifier. Microsoft a pris la rare mesure lundi de publier des correctifs de sécurité pour les versions non prises en charge d’Exchange qui seraient normalement trop anciennes pour être sécurisées, signe de la gravité de l’attaque selon l’entreprise. Microsoft a refusé de commenter.

Alors que la Maison Blanche pèse une réponse, le risque augmente. L’administration Biden fait lentement face à l’espionnage sophistiqué de SolarWinds, mais le chaos des hacks Hafnium présente un défi entièrement différent – à la fois en résolvant le problème et en répondant aux pirates derrière lui.

«Il faut qu’un message soit envoyé aux Chinois pour dire que c’est inacceptable», soutient Alperovitch. Les États-Unis doivent indiquer clairement «que nous allons les tenir responsables de tout dommage résultant d’acteurs criminels exploitant cet accès», dit-il, «et nous devons les pousser à retirer ces coquilles Web de toutes les victimes dès que possible. . »

Source

L’article Comment l’attaque de la Chine contre Microsoft s’est transformée en une frénésie de piratage «téméraire» est apparu en premier sur zimo news.