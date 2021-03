La bête quotidienne

Comment le piratage dévastateur de Microsoft en Chine nous met tous en danger

Michael Borgers / Getty Par Matthew Brazil Pendant la Seconde Guerre mondiale, les communistes chinois ont cultivé l’opium dans leur zone de base et l’ont trafiqué dans les villes occupées par le Japon. Le responsable de Mao Zedong était l’un des plus grands maîtres espions de l’époque, Li Kenong. Bien que Mao ait regretté plus tard de cultiver le «produit spécial», qu’il appelait «cette chose certaine», la drogue a causé des perturbations à l’arrière de l’ennemi et a profité à l’économie de la zone rouge. , provoquant des perturbations dans les systèmes en ligne et bénéficiant simultanément à l’économie chinoise avec des virus et des vers utilisés pour voler des informations dans les systèmes informatiques du monde entier. Le dernier exploit simultané contre des milliers d’organisations, révélé le 2 mars, a été surnommé le piratage de Microsoft Exchange, exploitant des serveurs qui gèrent les systèmes de messagerie. Le piratage permet aux auteurs de lire les messages des cibles sélectionnées, puis de s’aventurer plus profondément dans les réseaux infectés.Plus de 60000 organisations aux États-Unis et au moins 280000 utilisateurs dans le monde utilisant Microsoft Exchange pour leur courrier électronique ont été piratés entre le 26 février et le 3 mars, selon Chris Krebs , l’ancien directeur de l’Agence pour la cybersécurité et la sécurité des infrastructures. Les organisations comprennent des entrepreneurs de la défense, des universités, des gouvernements étatiques et locaux, des groupes de réflexion sur les politiques, des chercheurs sur les maladies infectieuses et des entreprises: quiconque a choisi d’utiliser Microsoft Exchange pour son service de messagerie. Si votre organisation exécute un serveur OWA exposé à Internet, supposez un compromis entre le 02 / 26-03 / 03. Recherchez les fichiers aspx à 8 caractères dans C: \ inetpub wwwroot aspnet_client system_web . Si vous obtenez un succès sur cette recherche, vous êtes maintenant en mode de réponse aux incidents. https://t.co/865Q8cc1Rm— Chris Krebs (@C_C_Krebs) 5 mars 2021 L’organisation non identifiée derrière le piratage, considérée par Microsoft comme une entité parrainée par un État chinois, est connue sous le nom de code HAFNIUM. Le piratage a permis un accès non autorisé à des systèmes de messagerie entiers et un accès de suivi à des bases de données connectées qui stockent des informations classifiées, des secrets commerciaux, le large éventail d’autres informations exclusives et des informations personnellement identifiables telles que les noms, adresses, numéros de sécurité sociale, etc. Nommé d’après un élément chimique découvert en 1923, HAFNIUM est une activité nouvelle et pas encore clairement identifiée au point de recevoir un cryptonyme tel que «TURBINE PANDA» – le nom donné au cyberespionnage TURBINE PANDA est liée au piratage OPM de 2014, une autre violation massive de données, et au cas de Yanjun Xu, l’officier de sécurité de l’État extradé vers les États-Unis depuis la Belgique pour tentative de vol du moteur à réaction évolué GE Les mauvais acteurs en Chine et au-delà, qu’ils travaillent pour le compte de services de renseignement ou d’organisations criminelles, devraient rapidement développer la preuve de HAFNIUM concept exploits », c’est-à-dire pour montrer qu’ils peuvent utiliser la vulnérabilité pour s’enfouir dans un système cible en effectuant des tâches bénignes comme ouvrir la calculatrice ou déplacer le curseur. À partir de là, il ne s’agit que d’une courte étape pour militariser l’exploit avec des logiciels malveillants.Selon une source de l’industrie, plusieurs autres groupes de piratage chinois pourraient avoir utilisé les mêmes vulnérabilités zero-day que HAFNIUM. Des organisations criminelles en dehors de la Chine ont déjà utilisé un ransomware utilisant la vulnérabilité neuf jours à peine après sa découverte, plus rapidement que dans les cas précédents, ce qui mettra davantage les détectives de la cybersécurité au défi dans leurs tentatives d’attribuer les attaques à des entités spécifiques. L’administration de Biden a émis un avertissement public le 12 mars selon lequel les organisations «ont des heures, pas des jours» pour mettre à jour les serveurs exposés avec des correctifs logiciels déjà publiés par Microsoft. Les utilisateurs ordinaires ont peut-être remarqué deux longues mises à jour de Microsoft au cours de la semaine dernière, destinées à éliminer les vulnérabilités.Le fait que Microsoft ait identifié HAFNIUM comme un acteur parrainé par l’État chinois indique que les services de sécurité de Pékin, probablement le ministère de la Sécurité d’État (MSS), continuent pour poursuivre la collecte massive de données comme l’exploit APT 3 de 2017, attribué au Bureau de la sécurité de l’État du Guangdong Il n’est pas surprenant que l’opération HAFNIUM malveillante en plusieurs étapes de la Chine contre les serveurs Microsoft Exchange présente une certaine ressemblance opérationnelle avec l’attaque SolarWinds De Russie. Tous deux reposent sur l’utilisation généralisée d’un système ciblé, à savoir Solar Winds et Microsoft Exchange, comme vecteur pour atteindre le véritable objectif: les dizaines de milliers d’utilisateurs qui possèdent des informations sensibles comme les données de production de défense américaine, la conception de systèmes d’armes, les secrets commerciaux utiles pour Le dernier plan quinquennal de la Chine et les courriels des ennemis politiques perçus de Pékin Ces objectifs de renseignement rappellent les cibles des agences de renseignement communistes russes et chinoises au cours du siècle dernier. De la fin des années 1920 à la fin des années 1950, les services d’espionnage de la Russie et de la Chine communiste ont partagé des informations sélectionnées sur leurs ennemis communs: le Japon et l’Allemagne pendant la Seconde Guerre mondiale, les États-Unis et leurs alliés au début de la guerre froide. des preuves émergent de la coopération moderne entre Moscou et Pékin, dont les relations se sont régulièrement améliorées depuis l’effondrement de l’Union soviétique en 1991, pour rechercher et mener des cyberattaques. Bien qu’il s’agisse d’un lien ténu, des preuves sont apparues le 8 mars selon lesquelles des pirates chinois ont ciblé les clients de SolarWinds dans une opération distincte des attaques russes connexes.Ces exploits soulignent à quel point l’exploitation à grande échelle des réseaux informatiques au 21e siècle a remodelé la collecte de renseignements techniques, et pas seulement parmi les superpuissances. Pendant la guerre froide, des opérations utiles de renseignement sur les signaux nécessitaient les ressources d’un État industriel avancé. Désormais, l’avantage de mener des hacks massifs et dévastateurs appartient à n’importe quel joueur, grand ou petit, qui a les meilleurs développeurs de logiciels.Le nouveau champ de bataille, avec son potentiel d’attaques contre les réseaux électriques, les hôpitaux et les installations sensibles comme les centrales nucléaires, met des populations entières Bien que les utilisateurs individuels puissent se sentir impuissants dans ce scénario de type Black Mirror, ils ont à leur portée plusieurs solutions faciles que n’importe qui, technique ou non, peut utiliser.La première étape consiste à activer l’authentification à deux facteurs dans les lancements d’applications chaque fois possible. Cela rend difficile pour un tiers de s’immiscer dans votre compte s’il a réussi à voler votre mot de passe.Deuxièmement, et le conseil le plus courant et pourtant le plus souvent ignoré: ne cliquez jamais sur les liens dans les e-mails, sauf si vous êtes certain qu’ils le sont. légitime. C’est ainsi que les adversaires ont réussi à accéder aux ordinateurs du Pentagone encore et encore. Ne fais pas ça. Cliquez sur. À moins que vous ne vouliez finir comme le président de la campagne d’Hillary Clinton, John Podesta, avec vos e-mails piratés et partagés avec le monde.Troisièmement, les utilisateurs qui échangent des informations sensibles devraient en particulier utiliser un réseau privé virtuel (VPN) pour cacher leur trafic. À notre époque, pourquoi ne pas masquer chaque frappe et chaque recherche sur le Web des regards indiscrets? Quatrièmement, ne jamais reporter les mises à jour logicielles. Il existe un grand marché international non seulement pour les vulnérabilités zero-day, mais aussi pour les vulnérabilités d’un jour (connues du public et corrigées). Pourquoi? Un pourcentage élevé d’utilisateurs sautent les mises à jour, se laissant ouverts à des exploits bien connus déjà partagés publiquement dans le monde entier sur Github, le service de partage de logiciels ouvert et basé sur le cloud.Une fois qu’un exploit est publié sur Github, tout le monde peut l’utiliser. Les criminels s’attaquent alors aux fruits à portée de main, y compris le grand nombre de personnes qui ne se soucient pas des mises à jour et des correctifs logiciels. Cela inclut en particulier ceux qui utilisent des logiciels piratés. Autrefois une alternative bon marché, le logiciel piraté est devenu la Typhoid Mary de l’espace numérique. Besoin de motivation pour faire les bonnes choses? 