Deux vulnérabilités ont été découvertes au sein de SharePoint, la plateforme de partage de documents et de collaboration en ligne de Microsoft. L’éditeur a rapidement corrigé les deux brèches, mais des pirates ont découvert le moyen de contourner le correctif.
En exploitant ces deux failles, des cybercriminels ont lancé une série de cyberattaques à l’encontre de centaines de serveurs appartenant à des dizaines entreprises. Eye Security estime que plus de 400 serveurs et plus de 140 organisations dans le monde ont été touchés par la vague de cyberattaques. Selon Microsoft et Google, les attaques ont été orchestrées par des groupes criminels chinois, comme Linen Typhon et Violet Typhon. Ces groupes sont « affiliés au gouvernement chinois », affirme Microsoft.
À lire aussi : Alerte au ransomware – les hackers d’Interlock multiplient les cyberattaques, alerte le FBI
Cyberattaque contre l’agence chargée des armes nucléaires américaines
Prés d’une semaine après le début des attaques, de nombreuses agences gouvernementales des États-Unis ont été touchées. Les pirates ont compromis les systèmes du ministère américain de l’Éducation, du Département du Revenu de Floride, et de l’Assemblée générale du Rhode Island. C’est aussi le cas de la National Nuclear Security Administration (NNSA), l’agence fédérale américaine chargée des armes nucléaires, qui s’est retrouvée dans le viseur des pirates la semaine dernière. Le ministère de l’Énergie des États-Unis révèle que des cybercriminels ont bien eu accès aux réseaux informatiques de l’agence.
Interrogé par Bleeping Computer, Ben Dietderich, porte-parole du ministère, déclare que « l’exploitation d’une faille zero-day dans Microsoft SharePoint a commencé à affecter le ministère de l’Énergie, y compris la NNSA » autour du vendredi 18 juillet. Selon lui, « seuls quelques systèmes ont été touchés », car l’agence a des « systèmes de cybersécurité particulièrement robustes ». Tous les systèmes sont actuellement en cours de restauration. Apparemment, aucune donnée sensible n’a été dérobée au cours de l’offensive. C’est ce qu’affirme une source anonyme au sein de l’agence à Bloomberg. Pour Tenable, l’attaque « constitue un nouveau rappel urgent des enjeux auxquels nous faisons face » :
« Il ne s’agit pas seulement d’une faille isolée, mais de la manière dont des acteurs exploitent ces brèches de manière organisée pour en tirer parti sur le long terme. Les groupes étatiques chinois présumés impliqués dans cette attaque sont connus pour utiliser des identifiants volés afin d’installer des backdoors durables. Même lorsque la vulnérabilité initiale a été corrigée, ces attaquants peuvent donc rester dissimulés au sein d’un réseau, prêts à lancer de futures campagnes d’espionnage. Lorsqu’une organisation détecte une nouvelle intrusion, les dégâts sont déjà faits ».
« Les informations les plus sensibles et potentiellement dangereuses au monde »
La NNSA est chargée de veiller à ce que les armes nucléaires existantes soient sûres, fiables et efficaces, et travaille à empêcher la diffusion de celles-ci auprès de pays hostiles. L’organisme est aussi responsable de la production et du démantèlement des armes nucléaires américaines. Comme l’explique Edwin Lyman, directeur de la sécurité nucléaire à l’Union of Concerned Scientists au média, la NNSA détient « certaines des informations les plus sensibles et potentiellement dangereuses au monde », mais « les réseaux contenant ces données classifiées sont isolés d’Internet ». De facto, « même si ces réseaux étaient compromis, je ne sais pas comment de telles informations auraient pu être transmises aux adversaires » des États-Unis, ajoute l’expert.
Ce n’est pas la première fois que l’agence fédérale se retrouve dans le collimateur des cybercriminels. En 2020, des hackers russes ont lancé une vaste opération d’espionnage sur la NNSA en exploitant la célèbre faille de SolarWinds.
D’autres pays, comme l’Allemagne, l’Espagne ou le Brésil, ont également été frappés par des attaques reposant sur les failles de SharePoint. Alors que le nombre d’attaques continuent d’augmenter, Microsoft recommande à toutes les organisations d’installer les derniers correctifs de SharePoint. L’éditeur a en effet déployé une nouvelle mise à jour pour colmater les vulnérabilités.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
