Ce que nous savons des hackers


Illustration de l'article intitulé Ce que nous savons des pirates derrière la violation de données Accellion

photo: KIRILL KUDRYAVTSEV / AFP (Getty Images)

Il reste un mystère quant à savoir qui est responsable du massacre désastreux d’Accellion, le fournisseur mondial de cloud qui, en décembre, a subi une vaste cyberattaque. Cette semaine, les chercheurs ont annoncé que la partie responsable pourrait avoir des liens avec deux groupes de pirates de premier plan.

Accellion a récemment découvert qu’un acteur menaçant exploitait des vulnérabilités zero-day dans son ancien service de transfert de fichiers application (appelé “FTA” pour faire court) —un fichier-produit de partage et de stockage utilisé par environ 300 clients. Malgré les correctifs ultérieurs, il y a eu un flux constant de violations de données liées à l’ALE impliquant des banques, des universités, de grandes entreprises, des agences gouvernementales, etc.

Lundi, Accellion a annoncé qu’elle travaillait avec la société de cyber-entreprise FireEye depuis l’incident et que les chercheurs ont identifié un groupe, surnommé «UNC2546», comme «le pirate informatique criminel derrière les cyberattaques et le vol de données».

Ceux qui connaissent le monde de la cybersécurité savent que l’attribution – l’acte de découvrir qui est responsable d’une cyberattaque particulière – est un très processus compliqué. Et moiEn réalité, FireEye n’a pas encore tout à fait réuni toutes les pièces du puzzle, alors revenons en arrière pour voir ce que les chercheurs a trouvé.

Première, Qu’est ce qu’un UNC? L’entreprise de sécurité a un certaine méthode pour classer les activités de menace: un «UNC» (qui signifie «groupe non catégorisé») est essentiellement une activité qui n’a pas encore été classée comme APT («menace persistante avancée»), le terme utilisé pour décrire les acteurs de la menace bien documentés qui ont des histoires plus longues. FireEye a identifié deux groupes d’activités menaçantes impliqués dans l’Accellion attaques: «UNC2546» et «UNC2582». Le premier groupe représente une activité impliquant des opérations de compromis (c.-à-d. Le piratage réel), tandis que le second était responsable de tentatives d’extorsion post-compromis, selon les chercheurs.

Pour compliquer les choses, «UNC2546» semble avoir des liens avec au moins deux autres menaces connues, dont la plus évidente est la gang de ransomware CL0P. En effet, presque tous les clients Accellion qui ont été compromis dans les attaques FTA ont vu leurs données publiées sur le dark web du gang de ransomwares “site de fuite. » Pourtant FireEye dit “UNC2546” peut également avoir des liens avec FIN11 – un prolifique, “motivé financièrement » groupe de hackers étroitement associé à CL0P. Ces derniers mois, FIN11 a commencé à utiliser les logiciels malveillants de CL0P dans ses attaques. Tous ces groupes peuvent travailler ensemble ou, dans certains cas, être le même groupe.

Si vous êtes totalement confus par tout cela, c’est très bien. Brett Callow, analyste des menaces chez Emsisoft, explique que les chaînes d’approvisionnement des pirates peuvent être complexes et volontairement obliques: les groupes travaillent ensemble, sous-traitent des tâches spécifiques et prennent toujours des mesures pour cacher ce qu’ils font. Cela peut rendre impossible de déterminer qui est à blâmer un Herculéen, tâche. Dans un e-mail, Callow a expliqué à quel point tout cela peut être compliqué:

«Les groupes de ransomwares sont amorphes. Le développement de base [development] l’équipe peut être impliquée dans d’autres opérations de ransomware et les affiliés le seront certainement. Un membre de REvil, par exemple, a affirmé que le ransomware Egregor et Maze avaient tous deux été créés par Evil Corp [a large cybercrime network]. Et Evil Corp est responsable de WastedLocker et BitPaymer, et il peut également y avoir des liens vers DoppelPaymer. Et tous ces groupes ont des affiliés et des spécialistes qui travaillent probablement aussi pour d’autres groupes. Et tous utilisent de la fumée et des miroirs, donc déterminer qui a fait quoi et avec qui travaille est loin d’être facile.

En général, une équipe de développement de ransomwares sera responsable de l’exécution du site de fuite, mais qui est responsable des autres opérations est une estimation de n’importe qui, a déclaré Callow.

Ce que nous savons, c’est qu’il existe des signatures numériques qui relient l’activité de menace Accellion à FIN11. Par exemple, les e-mails d’extorsion liés à FTA avaient des adresses IP et e-mail qui correspondaient à celles précédemment utilisées par FIN11 dans les campagnes de phishing, ont déclaré des chercheurs de FireEye. Cependant, jusqu’à présent, il n’y a pas eu suffisamment de preuves pour dire que FIN11 est le groupe derrière les attaques d’Accellion. Une grande partie de la relation entre tous ces divers groupes et activités n’est toujours pas claire, ont déclaré les chercheurs:

Les chevauchements entre FIN11, UNC2546 et UNC2582 sont convaincants, mais nous continuons à suivre ces clusters séparément tout en évaluant la nature de leurs relations. L’un des défis spécifiques est que la portée des chevauchements avec FIN11 est limitée aux dernières étapes du cycle de vie de l’attaque. UNC2546 utilise un vecteur d’infection et un point d’ancrage différents, et contrairement à FIN11, nous n’avons pas observé les acteurs étendre leur présence à travers les réseaux impactés.

Les chercheurs de FireEye ont également pu en révéler davantage sur la manière dont les attaques se sont produites. Le mécanisme d’intrusion initial utilisé par l’UNC2546 dans ses attaques FTA était une injection SQL – une cyberattaque courante qui injecte du code étranger dans une application via une vulnérabilité. L’acteur a ensuite exploité une webshell (un script malveillant), que les chercheurs ont surnommé «DEWMODE», pour voler des données au FTA. DEWMODE a levé et téléchargé des données et des métadonnées en masse directement à partir de la base de données MySQL de l’application.

Une fois les données volées via DEWMODE, «UNC2582» se mettait en marche avec un barrage d’e-mails d’extorsion. Ces messages étaient typiques du milieu des notes de «rançon»: ils informaient les victimes de ce qui se passait et exigeaient un paiement en échange de les données. Voir ci-dessous:

Illustration de l'article intitulé Ce que nous savons des pirates derrière la violation de données Accellion

Capture d’écran: Lucas Ropek / FireEye

Bien sûr, si l’organisation affectée ne payait pas, les pirates deviendraient généralement un peu plus méchants. Ils enverraient un dernier avertissement à la partie compromise, les informant que s’ils ne livraient pas la rançon, les données seraient mises en ligne via le dark web de CL0P. site de fuite pour le monde entier (lire: autres criminels) à voir. Dans la plupart des cas, les données ont fini sur sur le site:

Illustration de l'article intitulé Ce que nous savons des pirates derrière la violation de données Accellion

Capture d’écran: Lucas Ropek / FireEye

Comme indiqué précédemment, l’attribution est une partie tristement délicate de la recherche sur les menaces – il n’est donc pas surprenant que les chercheurs ne soient pas sûrs à 100% de qui est derrière tout cela. Quiconque est impliqué, ils ont certainement causé beaucoup de chaos.

Accellion a déclaré lundi que, parmi les organisations qui utilisaient FTA, “moins de 100 ont été victimes de l’attaque” et “moins de 25 semblent avoir subi un vol de données important.” Bien que cela signifie que la portée de l’attaque est limitée à quelques dizaines d’organisations, la quantité de données effectivement volées semble assez importante. Exemple concret, la victime la plus récente de annoncer une brèche C’est Kroger, la plus grande chaîne de supermarchés aux États-Unis, qui a déclaré vendredi que certaines données avaient été compromises. Ces données peuvent avoir inclus «les numéros de sécurité sociale de certains de ses clients en pharmacie et en clinique», a déclaré la chaîne. The Associated Press.

.



Vous pouvez lire l’article original (en Angais) sur le bloggizmodo.com