Par Moon of Alabama – Le 6 mars 2021
Quand j’étais responsable informatique, je n’aimais pas les serveurs de messagerie Exchange de Microsoft. Comme beaucoup d’autres produits Microsoft, ils sont surchargés de fonctionnalités inutiles et d’héritages des versions précédentes. Je ne suis donc pas étonné qu’ils aient été apparemment très facile à pirater.
Une campagne de piratage en cours qui a déjà touché des centaines de milliers de systèmes a été découverte par Volexity, une société de cybersécurité de Reston, en Virginie :
En janvier 2021, grâce à son service de surveillance de la sécurité des réseaux, Volexity a détecté une activité anormale sur les serveurs Microsoft Exchange de deux de ses clients. Volexity a découvert qu’une grande quantité de données étaient envoyées à des adresses IP qu'elle pensait ne pas être liées à des utilisateurs légitimes. Un examen plus approfondi des journaux IIS des serveurs Exchange a révélé des résultats plutôt alarmants. ... Grâce à son analyse de la mémoire système, Volexity a déterminé que l'attaquant exploitait une vulnérabilité de type "zero-day server-side request forgery" (SSRF) dans Microsoft Exchange (CVE-2021-26855). L'attaquant a utilisé cette vulnérabilité pour voler le contenu complet de plusieurs boîtes aux lettres d’utilisateurs. Cette vulnérabilité est exploitable à distance et ne nécessite aucune authentification d'aucune sorte, ni aucune connaissance particulière ou accès à un environnement cible. L'attaquant a seulement besoin de connaître le serveur Exchange exécutant et le compte à partir duquel il veut extraire le courrier électronique.
Les pirates ont utilisé quatre différentes failles de sécurité de type « zero-day » dans les produits Exchange Server. Une faille de sécurité « zero-day » est une faille qui était inconnue jusqu’alors et qui n’a jamais été utilisée auparavant. Trouver de nouvelles failles de sécurité « zero-day » est difficile et coûteux. Mais une fois qu’elles sont trouvées et rendues opérationnelles, elles sont souvent faciles à utiliser. Celui qui a réalisé ce piratage a investi pas mal d’efforts.
Outre l’extraction de courriels, les pirates ont également installé des portes dérobées qui leur permettent d’accéder à distance aux systèmes Exchange piratés.
Le 2 mars, Microsoft a publié des correctifs pour ces quatre failles de sécurité. Dans son communiqué, elle a accusé la Chine d’être derrière le piratage :
Aujourd'hui, nous partageons des informations sur un hackeur parrainé par un État, identifié par le Centre de renseignement sur les menaces de Microsoft (MSTIC), que nous appelons Hafnium. Hafnium opère depuis la Chine, et c'est la première fois que nous parlons de son activité. C'est un acteur hautement qualifié et sophistiqué. Hafnium cible principalement des entités aux États-Unis dans le but d'exfiltrer des informations provenant d'un certain nombre de secteurs industriels, notamment des chercheurs en maladies infectieuses, des cabinets d'avocats, des établissements d'enseignement supérieur, des entrepreneurs de défense, des groupes de réflexion sur les politiques et des ONG. Bien qu’Hafnium soit basé en Chine, il mène ses opérations principalement à partir de serveurs privés virtuels (VPS) loués aux États-Unis. Récemment, Hafnium s'est engagé dans un certain nombre d'attaques utilisant des failles jusqu'alors inconnues visant les logiciels Exchange Server. À ce jour, Hafnium est le principal acteur que nous avons vu utiliser ces failles, qui sont examinées en détail par le MSTIC ici. Les attaques se sont déroulées en trois étapes. Tout d'abord, il accède à un serveur Exchange soit avec des mots de passe volés, soit en utilisant ces vulnérabilités inconnues pour se déguiser en quelqu'un qui peut y avoir accès. Ensuite, il créerait ce qu'on appelle un shell web pour contrôler le serveur compromis à distance. Troisièmement, il utiliserait cet accès à distance - exécuté à partir de serveurs privés basés aux États-Unis - pour voler des données sur le réseau d'une organisation.
Dans un article de blog connexe, Microsoft affirme que les pirates « chinois » bénéficient du soutien de l’État :
Le Centre de renseignement sur les menaces de Microsoft (MSTIC) attribue, avec une grande confiance, cette campagne à HAFNIUM, un groupe considéré comme étant soutenu par l'État et opérant depuis la Chine, sur la base de la liste des victimes, les tactiques et les procédures observées.
Depuis que Microsoft a publié les correctifs de sécurité, les pirates informatiques sont passés à la vitesse supérieure. Ils scannent Internet et infiltrent tous les serveurs Exchange qui n’ont pas encore été corrigés. On pense aujourd’hui que plus de 30 000 systèmes américains et des centaines de milliers de systèmes dans le monde entier ont été infiltrés avec des portes dérobées installées sur apparemment tous ces systèmes.
Une campagne de piratage aussi étendue attirera certainement l’attention des médias. (Bien que le NYT et le Washington Post n’aient jusqu’à présent fait aucun rapport sur cette campagne. Ils pensent probablement que les premières pages de l’édition du dimanche sera le meilleur placement pour une nouvelle attaque anti-chinoise).
Trouver ceux qui sont derrière une campagne de piratage est souvent extrêmement difficile. Nous savons, grâce au communiqué de Wikileaks, Vault 7, que les hackers du gouvernement américain au Centre de Cyber Intelligence de la CIA ont développé des outils qui font croire que leurs hackers proviennent de différents acteurs étrangers :
Le groupe UMBRAGE de la Direction des dispositifs à distance de la CIA rassemble et gère une importante bibliothèque de techniques d'attaque "volées" à des logiciels malveillants produits dans d'autres États, y compris la Fédération de Russie. Grâce à UMBRAGE et aux projets connexes, la CIA peut non seulement augmenter le nombre total de types d'attaques, mais aussi fausser les attributions en laissant derrière elle les "empreintes digitales" des groupes auxquels les techniques d'attaque ont été volées.
Nous pouvons être sûrs que d’autres gouvernements ont développé des capacités similaires.
La CIA a également découvert des failles de sécurité de type « zero day » pour les utiliser dans des campagnes ultérieures :
La CIA déploie également des efforts considérables pour infecter et contrôler les utilisateurs de Microsoft Windows avec ses logiciels malveillants, y compris de multiples "zero days" locaux et distants ...
L’accusation faite par Microsoft repose donc, à la lumière de ce qui précède, sur des preuves assez faibles. Les attaques directes provenaient de serveurs privés virtuels loués aux États-Unis. Selon Microsoft, ces serveurs étaient exploités par des machines en Chine. Mais comment Microsoft sait-il qui contrôle réellement ces machines en Chine ? Ne pourraient-elles pas être piratées elles aussi ? Les vrais acteurs ne pourraient-ils pas s’asseoir n’importe où sur cette planète et y accéder par l’intermédiaire d’Internet ?
Microsoft affirme également que son attribution est « basée sur la liste des victimes, les tactiques et les procédures observées ». Les victimes sont décrites comme « des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs de la défense, des groupes de réflexion sur les politiques et des ONG ».
Pour une campagne parrainée par l’État, en particulier une campagne qui utilise et dévoile de coûteux quatre zero-days, cette liste de victimes est inhabituellement longue. Elle garantit que l’attaque sera détectée assez rapidement.
Les « tactiques et procédures » sont encore plus difficiles à attribuer que le code utilisé dans l’attaque. Microsoft en détaille quelques-unes :
HAFNIUM a déjà compromis des victimes en exploitant les vulnérabilités de serveurs en ligne, et a utilisé des outils légitimes à code source ouvert, comme Covenant, pour le commandement et le contrôle. Une fois qu'il a eu accès au réseau d’une victime, HAFNIUM exfiltre généralement les données vers des sites de partage de fichiers comme MEGA.
Ce piratage a utilisé des outils légitimes à code source ouvert qui sont largement disponibles et sont également utilisés par de nombreuses organisations de cybercriminalité et services secrets. Quelles sont donc les « tactiques et procédures » spécifiques qui permettent d’attribuer cette situation à la Chine ?
Microsoft ne le dira pas.
Il est également vrai que les pirates informatiques ont accéléré les choses dès que Microsoft a publié les correctifs. Ils infectent maintenant tous les systèmes qu’ils peuvent trouver. Cela va certainement entraîner une publicité extrême à l’international.
Pourquoi une campagne de piratage parrainée par l’État, en particulier par la Chine, chercherait-elle un tel résultat ? Pourquoi la Chine voudrait-elle provoquer davantage de nouvelles négatives contre elle ?
N’y aurait-il pas un autre pays qui aurait intérêt à provoquer des accusations publiques contre la Chine en la liant à une campagne mondiale de piratage informatique ?
Au cours des dernières années, nous avons assisté à une campagne de presse massive contre la Chine menée par les habituels coupables. Des sondages récents montrent qu’elle a atteint son but :
Un nouveau sondage Gallup révèle que la cote des Américains favorables à l'égard de la Chine a encore baissé au cours de l'année dernière, tombant à un niveau historiquement bas. Pour la première fois depuis plus de dix ans, les Américains considèrent les États-Unis plutôt que la Chine comme la première puissance économique du monde. Et comme moins d'Américains qu'en 2019 désignent la Russie comme le plus grand ennemi des États-Unis, la Russie et la Chine sont maintenant à égalité pour la première place sur cette liste.
Ce que commente Peter Lee avec son habituel sarcasme :
chinahand @chinahand - 19:05 UTC – 5 Mars 2021 En fait, la statistique la plus intéressante est qu'en proportion apparemment directe de la haine envers la Chine, le nombre de personnes ayant déclaré que les États-Unis sont et seront le numéro un de l'économie mondiale maintenant et dans 20 ans a augmenté, ce qui signifie que la peur de la Chine engendre à la fois le déni et le défi. Dernière réflexion : ce sondage est une sorte de « mission accomplie ! » pour la presse, le Pentagone et les services de renseignements qui sont derrière les reportages anti-Chine. La prochaine mission sera de vendre une guerre ! Puis, après l'action, on se lamentera sur le fait que le véritable ennemi n'était pas la Chine, mais le changement climatique et les inégalités de revenus, et les entreprises de la défense obsédées par la prise de pouvoir dans le Pacifique occidental, mais ce sera quand même la faute de la Chine qui a commencé parce qu'elle était si méchante ! "Cette merde dans ce sandwich de merde qu'on t'a vendu… Une partie était chinoise !"
À mon avis, Microsoft n’a jusqu’à présent rien montré qui puisse attribuer de manière plausible les piratages à la Chine.
Ce que l’on peut cependant constater, c’est que cette campagne de piratage va, une fois de plus, jeter l’opprobre sur la Chine. Tel pourrait bien être le véritable objectif de cette histoire.
Moon of Alabama
Traduit par Wayan, relu par Hervé pour le Saker Francophone
Ping : La Chine piraterait-elle des serveurs au hasard, juste pour se faire mal voir ? – Saint Avold / The Sentinel