Une bruine en février, un déluge en mars

  • FrançaisFrançais


  • Une vague de violations contre Microsoft Exchange Server semble s’être déployée par étapes, avec des signes indiquant également d’autres pirates informatiques utilisant les mêmes vulnérabilités après que Microsoft a annoncé un correctif.

    La semaine dernière, Microsoft a corrigé quatre vulnérabilités d’Exchange Server utilisées par un groupe de hackers dans des violations «ciblées et limitées». Mais alors que les fournisseurs se sont précipités pour corriger les systèmes, les failles ne semblaient pas du tout limitées. Mercredi, Huntress Labs a déclaré à SC Media qu’il voyait des centaines de serveurs piratés. D’ici le week-end, certains chercheurs spéculaient que le nombre de systèmes endommagés pourrait atteindre cent mille.

    «Je pense que la déclaration faite par Microsoft, selon laquelle il était initialement très ciblé, est probablement correcte; Hafnium ou quiconque est derrière cela, était très concentré dans leur attaque initiale, avant le 27 février », a déclaré Tyler Hudak, qui dirige l’effort de réponse aux incidents pour le fournisseur TrustedSec. «Le 27, c’est à ce moment-là qu’il passe à une échelle beaucoup plus grande.»

    Dans cette chronologie, la première grande vague de violations peut s’être produite après que Microsoft aurait travaillé sur le correctif.

    Plusieurs fournisseurs de sécurité disent à SC Media qu’Hafnium a déposé des web shells sur des serveurs à un rythme notable les 27 et 28 février. Mais TrustedSec a découvert qu’Hafnium avait piraté très peu des cibles disponibles, installant les web shells sur un petit sous-ensemble de serveurs visités et analysés vulnérabilités au cours de ces deux jours. Le groupe finirait par faire le plus gros de son piratage des serveurs qu’il jugeait vulnérables une semaine plus tard.

    “Cela ressemble à une attaque automatisée où quelqu’un a effectué une analyse de vulnérabilité les 27 et 28 février, puis a utilisé un script les 2 et 3 mars pour revenir physiquement aux adresses afin de supprimer un shell Web afin de pouvoir revenir en personne plus tard”, a déclaré Hudak.

    Cela, dit Hudak, peut expliquer pourquoi plusieurs versions du même shell Web se retrouvent fréquemment sur le même serveur – un détail remarqué pour la première fois par Huntress la semaine dernière. Les victimes auraient pu être touchées au cours des premières attaques ciblées, de la période d’analyse des vulnérabilités de fin février et de l’attaque basée sur des scripts début mars.

    On ne sait toujours pas si le script s’est déclenché avant ou après que Microsoft a annoncé les correctifs. Un script aurait pu être une tentative de presser autant de points d’ancrage que possible avant que des cibles potentielles ne soient corrigées.

    Nouvelles attaques, nouvelles tactiques

    Maintenant, dans le sillage d’Hafnium, les intervenants signalent ce qui semble être d’autres grappes d’activités. Cela signifie que d’autres groupes utilisent la même chaîne de vulnérabilités ou qu’une ramification de Hafnium utilise des tactiques, des techniques et des procédures très différentes dans les attaques après les correctifs annoncés.

    Plus précisément, TrustedSec a signalé une analyse de vulnérabilité distribuée de type botnet que certains acteurs utilisent pour découvrir des cibles vulnérables. Red Canary suit trois groupes d’activités distincts, en utilisant des procédures différentes.

    «Nous avons beaucoup de questions à ce sujet en ce moment. Était-ce juste des adversaires différents lâchant ces coquilles Web indépendamment les uns des autres? Travaillaient-ils ensemble comme un seul adversaire qui se servait de l’accès de quelqu’un d’autre? Nous ne savons pas pour le moment », a déclaré la directrice du renseignement de Red Canary, Katie Nickels. “Et donc, en bref, suivre les groupes d’adversaires derrière tout cela n’est qu’un gâchis.”

    Microsoft ne ferait aucun commentaire sur cette histoire. Jusqu’à présent, la société est restée ferme en insistant sur la nécessité de corriger les vulnérabilités du serveur.

    Nickels note que les correctifs peuvent ne pas suffire, étant donné l’opportunisme des hackers. L’installation du correctif ne perturbe pas les logiciels malveillants déjà en place et il est important d’enquêter sur l’exposition.

    Hudak ajoute que dans de nombreux cas, les web shells installés n’ont jamais été utilisés, il est donc possible d’avoir un web shell installé sans aucun signe d’exfiltration.

    Nickels a ajouté que s’il s’agissait d’une centaine d’attaques ciblées ou de 100000 victimes en masse, les défenseurs du réseau doivent traiter cela comme une menace grave.

    «Les chiffres ne sont pas si importants», que 100 serveurs aient été ciblés ou 100 000, a déclaré Nickels. «Tout le monde doit prendre cela au sérieux. Que ce soit la Chine ou non, c’est une menace sérieuse d’être exploitée dans la nature. »

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *