Des centaines de milliers d’entreprises dans le monde seraient concernées dont 30 000 organisations américaines.
Des failles exploitées dans Microsoft Exchange par un groupe de hackers nommé « Hafnium ». © valerybrozhinsky – stock.adobe.com
Un piratage massif par une unité de cyberespionnage chinois
Le spécialiste de la cybersécurité Brian Krebs a révélé sur son blog qu’au moins 30 000 organisations américaines, dont des petites entreprises, des villes et des gouvernements locaux, ont été piratées ces derniers jours, vraisemblablement par un groupe de hackers qui serait soutenu par l’État chinois. Les attaques auraient été effectuées dans le monde entier, donc des centaines de milliers d’organisations pourraient potentiellement en être victimes au final.
En effet, cette équipe de piratage aurait profité de 4 failles récemment découvertes sur le serveur de messagerie Microsoft Exchange afin de dérober les données de ses utilisateurs professionnels. Après une récente publication des mises à jour de sécurité d’urgence par Microsoft, les hackers auraient intensifié leurs attaques contre les serveurs Exchange du monde entier qui présentent encore des vulnérabilités non corrigées.
Le groupe serait surnommé « Hafnium » et, selon Microsoft, il aurait déjà mené « des attaques ciblées sur des systèmes de messagerie utilisés par une gamme de secteurs industriels, y compris des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entreprises de défense, des groupes de réflexion sur les politiques et des ONG. »
Quel impact sur les entreprises piratées ?
Pour chaque serveur Exchange piraté, les hackers laissent derrière eux un « web shell » (code encoquillé en version française). C’est un outil de piratage facile à utiliser, protégé par un mot de passe, accessible à partir de n’importe quel navigateur, qui permet d’avoir un accès administratif aux serveurs informatiques des entreprises victimes.
Steven Adair, le président de Volexity, une firme spécialisée en sécurité, met en garde contre les actions menées par ce groupe de hackers, et explique à ce sujet : « même si vous avez mis à jour le même jour que Microsoft a publié ses correctifs, il y a toujours de fortes chances qu’il y ait un « web shell » sur votre serveur. La vérité est que si vous exécutez Exchange et que vous n’avez pas encore corrigé cela, il y a de très fortes chances que votre organisation soit déjà compromise. »
Jen Psaki, l’attachée de presse de la Maison Blanche, a déclaré que ces attaques étaient « significatives » et « pourraient avoir des impacts considérables« , en ajoutant que le gouvernement était préoccupé par le nombre de victimes qui pourrait être conséquent.
Quelles options de protection pour les organisations ?
Un porte-parole de Microsoft a déclaré que « la meilleure protection consiste à appliquer les mises à jour dès que possible sur tous les systèmes concernés ». La mise à jour permet de bloquer les 4 façons différentes utilisées par les hackers pour s’immiscer sur les serveurs. Le porte-parole ajoute que les clients concernés doivent contacter leurs équipes d’assistance pour obtenir de l’aide et des ressources supplémentaires.
Chris Krebs, ancien chef de l’Agence pour la cybersécurité et la sécurité des infrastructures, invite les organisations à vérifier si elles sont victimes d’une attaque, dans un tweet en réponse à Jack Sullivan, conseiller à la sécurité nationale de la Maison Blanche.
Le tweet en question : « c’est la réalité. Si votre organisation gère un serveur OWA exposé à Internet, supposez un compromis entre le 26/02 et le 03/03. Vérifiez la présence de fichiers aspx de 8 caractères dans C:\inetpubwwwrootaspnet_clientsystem_web. Si vous obtenez une réponse positive à cette recherche, vous êtes maintenant en mode incident response. »
This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03. Check for 8 character aspx files in C:\inetpubwwwrootaspnet_clientsystem_web. If you get a hit on that search, you’re now in incident response mode. https://t.co/865Q8cc1Rm
— Chris Krebs (@C_C_Krebs) March 5, 2021
La CISA (Cybersecurity & Infrastructure Security Agency) aux États-Unis a également publié une directive d’urgence à suivre pour les départements fédéraux exécutant des serveurs Microsoft Exchange. L’objectif : mettre à jour leur logiciel et déconnecter les produits concernés de leurs réseaux.
Microsoft a tenu à préciser que les attaques du groupe « Hafnium » ne sont en aucun cas liées à celles de SolarWinds, qui avaient été probablement orchestrées par un groupe de renseignement russe.
Recevez par email toute l’actualité du digital
