[ad_1]
La NSA a publié ce vendredi une alerte de sécurité pour mettre en garde contre une nouvelle vague de cyberattaques contre les serveurs de messagerie, attaques menées par l’une des unités de cyber-espionnage les plus avancées de la Russie. La NSA indique que des membres de l’unité 74455 du GRU Main Center for Special Technologies (GTsST), une division du service de renseignement militaire russe, ont attaqué des serveurs de messagerie électronique utilisant l’agent de transfert de courrier Exim (MTA).
Egalement connu sous le nom de « Sandworm », ce groupe pirate les serveurs Exim depuis août 2019 en exploitant une vulnérabilité critique identifiée comme CVE-2019-10149, a déclaré la NSA dans une alerte de sécurité partagée aujourd’hui avec ZDNet. « Lorsque Sandworm exploitait CVE-2019-10149, la machine victime téléchargeait et exécutait ensuite un script shell à partir d’un domaine contrôlé par Sandworm », indique la NSA.
Ce script shell permettrait notamment :
- d’ajouter des utilisateurs privilégiés ;
- de désactiver les paramètres de sécurité du réseau ;
- de mettre à jour les configurations SSH pour permettre un accès à distance supplémentaire ;
- d’exécuter un script supplémentaire pour permettre une exploitation ultérieure.
La NSA avertit maintenant les organisations privées et gouvernementales de mettre à jour leurs serveurs Exim à la version 4.93 et de rechercher des signes de compromis. Les indicateurs de compromis sont disponibles dans le PDF de la NSA, dont le lien figure ci-dessus.
Neuf mois pour mener des attaques
Le groupe Sandworm est actif depuis le milieu des années 2000. Il s’agit certainement du groupe de pirates informatiques à l’origine du malware BlackEnergy, qui a causé une panne d’électricité massive en Ukraine en décembre 2015 et décembre 2016. Il s’agit également du groupe qui se cache derrière le tristement célèbre logiciel de rançon NotPetya qui a causé des dommages de plusieurs milliards de dollars américains à des entreprises du monde entier.
Avec le groupe Turla, Sandworm est actuellement considéré comme l’un des deux groupes de piratage informatique les plus avancés parrainés par l’État russe. La vulnérabilité CVE-2019-10149 a été révélée en juin 2019, et a reçu le nom de code « Return of the WIZard ».
Dans la semaine qui a suivi sa divulgation, les groupes de pirates informatiques ont commencé à en abuser. Deux semaines plus tard, Microsoft avait également émis une alerte à l’époque, avertissant les clients d’Azure qu’un acteur de la menace avait développé un ver Exim auto-répandant qui exploitait cette vulnérabilité pour s’emparer de serveurs tournant sur l’infrastructure d’Azure.
Le SMTP, une cible de choix
Près de la moitié des serveurs de messagerie électronique sur Internet fonctionnent avec Exim. Selon les statistiques du 1er mai 2020, seule la moitié des serveurs Exim ont été mis à jour à la version 4.93, ou plus tard, laissant un grand nombre d’instances Exim exposées aux attaques.
« De nombreuses organisations font une fixation sur Cloud ou le mobile. Ils oublient un peu vite que les services vraiment anciens comme le SMTP représentent une grande partie de leur vie personnelle et professionnelle, et que, par définition, ces services sont exposés à Internet », explique Richard Bejtlich, stratégiste principal en matière de sécurité au sein de la société de cybersécurité Corelight, interrogé par ZDNet.
« Ils constituent des cibles parfaites pour les adversaires qui se trouvent face à Internet, ils traitent les données les plus sensibles et les gens les traitent comme des appareils, ce qui signifie qu’ils sont souvent oubliés tant qu’ils continuent à travailler, et ne sont pas surveillés ».
Name and Shame
Mais l’avis de sécurité de la NSA d’aujourd’hui a aussi deux autres objectifs que celui d’inciter les administrateurs d’Exim à corriger leurs serveurs. Il est également destiné à brûler beaucoup d’infrastructures offensives de Sandworm. Suite à l’alerte d’aujourd’hui, les opérateurs de Sandworm risquent de perdre l’accès à de nombreux serveurs qu’ils ont piratés au cours des neuf derniers mois, car les administrateurs de serveurs déploient des correctifs et suppriment les portes dérobées de Sandworm.
Deuxièmement, l’avis attire à nouveau l’attention du monde sur les opérations de cyber-espionnage de la Russie. Nombre de ces opérations russes ont souvent dépassé les limites de ce qui est acceptable dans le domaine du cyber-espionnage moderne en causant souvent des dégâts dans le monde réel (par exemple, NotPetya, BadRabbit, BlackEnergy, les attaques DDoS en Géorgie, le piratage DNC, etc.)
Les États-Unis et les autres pays membres de l’organisation Five Eyes, qui regroupe les services de renseignement des pays anglo-saxons alliés de Washington, ont fait de la dénonciation et de la dénonciation des cyber-attaques russes une question de politique. Et ce, au moins depuis la fin de 2018. Ils ont continué depuis en étendant cette politique aux opérations chinoises, iraniennes et nord-coréennes également.
Source : ZDNet.com
[ad_2]
Source link
