Les pirates informatiques contreviennent aux clients Microsoft et deviennent une crise mondiale de la cybersécurité

Photographe: Chris Ratcliffe / Bloomberg

Une attaque sophistiquée sur Le logiciel de messagerie professionnelle largement utilisé de Microsoft Corp. se transforme en une crise mondiale de cybersécurité, alors que les pirates se précipitent pour infecter autant de victimes que possible avant que les entreprises ne puissent sécuriser leurs systèmes informatiques.

L’attaque, qui, selon Microsoft, a commencé avec un groupe de piratage soutenu par le gouvernement chinois, a jusqu’à présent fait au moins 60000 victimes connues dans le monde, selon un ancien haut responsable américain au courant de l’enquête. Beaucoup d’entre eux semblent être des petites ou moyennes entreprises prises dans un large filet que les attaquants ont lancé alors que Microsoft s’efforçait de mettre fin au piratage.

Les victimes identifiées à ce jour comprennent des banques et des fournisseurs d’électricité, ainsi que des maisons pour personnes âgées et une entreprise de crème glacée, selon Huntress, une société basée à Ellicott City, dans le Maryland, qui surveille la sécurité des clients, dans un article de blog vendredi.

Une société américaine de cybersécurité qui a demandé à ne pas être nommée a déclaré que ses experts travaillaient seuls avec au moins 50 victimes, essayant de déterminer rapidement quelles données les pirates auraient pu prendre tout en essayant de les éjecter.

L’escalade rapide de l’attaque a suscité l’inquiétude des responsables américains de la sécurité nationale, en partie parce que les pirates ont pu frapper tellement de victimes si rapidement. Les chercheurs disent que dans les phases finales de l’attaque, les pirates semblent avoir automatisé le processus, ramassant des dizaines de milliers de nouvelles victimes à travers le monde en quelques jours.

«Nous entreprenons une réponse de l’ensemble du gouvernement pour évaluer et traiter l’impact», a écrit samedi un responsable de la Maison Blanche dans un courriel. «Il s’agit d’une menace active toujours en développement et nous exhortons les opérateurs de réseau à la prendre très au sérieux.»

Les failles du serveur Microsoft déclenchent des alarmes à la Maison Blanche, DHS

Le groupe de piratage chinois, que Microsoft appelle Hafnium, semble s’être introduit dans les réseaux informatiques privés et gouvernementaux via le populaire logiciel de messagerie Exchange de la société depuis plusieurs mois, ne ciblant initialement qu’un petit nombre de victimes, selon Steven Adair, chef de la société basée dans le nord de la Virginie. Volexité. La société de cybersécurité a aidé Microsoft à identifier les failles utilisées par les pirates pour lesquels le géant du logiciel a publié un correctif mardi.

Le résultat est une deuxième crise de cybersécurité à venir quelques mois à peine après que des pirates informatiques russes présumés aient violé neuf agences fédérales et au moins 100 entreprises via mises à jour falsifiées du fabricant de logiciels de gestion informatique SolarWinds LLC. Les experts en cybersécurité qui défendent les systèmes informatiques du monde ont exprimé un sentiment croissant de frustration et d’épuisement.

«Être fatigué»

«Les gentils sont fatigués», a déclaré Charles Carmakal, vice-président senior chez FireEye Inc., la société de cybersécurité basée à Milpitas, en Californie.

Interrogé sur l’attribution de l’attaque par Microsoft à la Chine, un porte-parole du ministère chinois des Affaires étrangères a déclaré mercredi que le pays «s’oppose fermement et combat les cyberattaques et le cyber-vol sous toutes ses formes» et a suggéré que blâmer une nation particulière était une «question politique très sensible».

L’incident le plus récent et l’attaque de SolarWinds montrent la fragilité des réseaux modernes et la sophistication des pirates financés par l’État pour identifier les vulnérabilités difficiles à trouver ou même les créer pour mener de l’espionnage. Ils impliquent également des cyberattaques complexes, avec un rayon d’explosion initial d’un grand nombre d’ordinateurs, qui est ensuite réduit au fur et à mesure que les attaquants concentrent leurs efforts, ce qui peut prendre des semaines ou des mois aux organisations concernées pour être résolues.

Dans le cas des bogues Microsoft, la simple application des mises à jour fournies par l’entreprise ne supprimera pas les attaquants d’un réseau. Un examen des systèmes affectés est nécessaire, a déclaré Carmakal. Et la Maison Blanche a souligné la même chose, y compris des tweets du Conseil de sécurité nationale exhortant la liste croissante des victimes à passer soigneusement au peigne fin dans leurs ordinateurs les signes des agresseurs.

Au départ, les pirates informatiques chinois semblaient cibler des cibles de renseignement de grande valeur aux États-Unis, a déclaré Adair. Il y a environ une semaine, tout a changé. D’autres groupes de piratage non identifiés ont commencé à frapper des milliers de victimes sur une courte période, en insérant des logiciels cachés qui pourraient leur donner accès plus tard, a-t-il déclaré.

«Exploitation de masse»

« Ils sont allés en ville et ont commencé à faire de l’exploitation de masse – des attaques aveugles compromettant les serveurs d’échange, littéralement dans le monde entier, sans égard au but, à la taille ou à l’industrie », a déclaré Adair. «Ils touchaient tous les serveurs qu’ils pouvaient.»

Adair a déclaré que d’autres groupes de piratage avaient peut-être trouvé les mêmes failles et lancé leurs propres attaques – ou que la Chine aurait peut-être voulu capturer autant de victimes que possible, puis déterminer celles qui avaient une valeur en matière de renseignement.

Quoi qu’il en soit, les attaques ont été si réussies – et si rapides – que les pirates semblent avoir trouvé un moyen d’automatiser le processus. «Si vous utilisez un serveur Exchange, vous êtes probablement une victime», a-t-il déclaré.

Les données d’autres sociétés de sécurité suggèrent que la portée des attaques peut ne pas être aussi mauvaise. Les chercheurs de Huntress ont examiné environ 3000 serveurs vulnérables sur les réseaux de ses partenaires et ont trouvé environ 350 infections – soit un peu plus de 10%.

Alors que les pirates de SolarWinds ont infecté des organisations de toutes tailles, la plupart des dernières victimes sont des petites et moyennes entreprises et des agences gouvernementales locales. Les organisations qui pourraient être les plus touchées sont celles qui disposent d’un serveur de messagerie exécutant le logiciel vulnérable et exposé directement à Internet, une configuration risquée que les plus grandes évitent généralement.

Les petites organisations «luttent déjà en raison des fermetures de Covid – cela aggrave une situation déjà mauvaise», a déclaré Jim McMurry, fondateur de Milton Security Group Inc., un service de surveillance de la cybersécurité du sud de la Californie. « Je sais, grâce à mon travail avec quelques clients, que cela prend beaucoup de temps pour localiser, nettoyer et s’assurer qu’ils n’ont pas été affectés en dehors du vecteur d’attaque initial. »

McMurry a déclaré que le problème était «très grave», mais a ajouté que les dommages devraient être quelque peu atténués par le fait que «c’était patchable, c’était réparable».

Microsoft a déclaré que les clients qui utilisent son système de messagerie basé sur le cloud ne sont pas affectés.

L’utilisation de l’automatisation pour lancer des attaques très sophistiquées pourrait marquer une nouvelle ère effrayante de la cybersécurité, qui pourrait submerger les ressources limitées des défenseurs, ont déclaré plusieurs experts.

Certaines des infections initiales semblent avoir été le résultat de l’analyse et de l’installation automatisées de logiciels malveillants, a déclaré Alex Stamos, consultant en cybersécurité. Les enquêteurs rechercheront des infections qui ont poussé les pirates à passer à l’étape suivante et à voler des données, telles que e-mail archives – et les chercher pour toute information précieuse plus tard, dit-il.

«Si je dirigeais l’une de ces équipes, je retirerais les e-mails aussi rapidement que possible sans discernement, puis je les extrairais pour de l’or», a déclaré Stamos.