Un groupe de piratage identifié avec le régime iranien utilise une vulnérabilité informatique qualifiée de l’une des pires jamais vues pour attaquer des cibles israéliennes, a déclaré mercredi une société de cybersécurité.
Les gouvernements et les experts en sécurité Internet ont sonné l’alarme sur la faille, connue sous le nom de Log4j, qui permet aux attaquants basés sur Internet de prendre facilement le contrôle de tout, des systèmes de contrôle industriels aux serveurs Web et à l’électronique grand public.
Selon Check Point, basé à Tel Aviv, le groupe de piratage APT35, également connu sous le nom de Charming Kitten, a tenté d’utiliser l’exploit contre sept cibles israéliennes des secteurs des affaires et du gouvernement mardi et mercredi.
« Check Point a bloqué ces attaques, car nous avons été témoins de communications entre un serveur utilisé par ce groupe et les cibles en Israël », a déclaré la firme.
Il n’a pas précisé quelles étaient les cibles, mais a déclaré qu’aucune tentative du groupe de poursuivre des entités dans d’autres pays n’avait été identifiée.
Microsoft et la société de cybersécurité Mandiant ont également identifié des tentatives d’acteurs iraniens d’utiliser la faille, ainsi que des pirates chinois, turcs et nord-coréens.
John Hultquist, un analyste de haut niveau chez Mandiant, n’a pas nommé de cibles mais a déclaré que les acteurs iraniens sont « particulièrement agressifs » et ont pris part à des attaques de rançongiciels contre Israël principalement à des fins perturbatrices.
APT35, qui serait lié au Corps des gardiens de la révolution islamique d’Iran, est principalement connu pour mener des attaques de phishing contre des journalistes, des militants, des ONG et d’autres, avec une grande partie de ses efforts concentrés sur Israël.
La plus haute responsable américaine de la défense de la cybersécurité, Jen Easterly, a qualifié l’exploit Log4j de « l’un des plus graves que j’ai vus de toute ma carrière, sinon le plus grave » lors d’un appel lundi avec des responsables étatiques et locaux et des partenaires du secteur privé. .
Divulgué publiquement jeudi dernier, c’est de l’herbe à chat pour les cybercriminels et les espions numériques, car il permet une entrée facile et sans mot de passe.
Check Point a déclaré mardi avoir détecté plus d’un demi-million de tentatives d’acteurs malveillants connus pour identifier la faille sur les réseaux d’entreprise à travers le monde. Il a déclaré que la faille avait été exploitée pour installer un logiciel malveillant d’extraction de crypto-monnaie – qui utilise des cycles informatiques pour extraire subrepticement de l’argent numérique – dans cinq pays, mais n’a identifié aucun emplacement en dehors d’Israël.
Le logiciel concerné, écrit dans le langage de programmation Java, enregistre l’activité de l’utilisateur. Développé et maintenu par une poignée de bénévoles sous les auspices de l’Apache Software Foundation open source, il est très populaire auprès des développeurs de logiciels commerciaux. Il fonctionne sur de nombreuses plates-formes – Windows, Linux, macOS d’Apple – alimentant tout, des webcams aux systèmes de navigation automobile et aux appareils médicaux, selon la société de sécurité Bitdefender.
Un large éventail d’industries critiques, notamment l’électricité, l’eau, l’alimentation et les boissons, la fabrication et le transport, ont été exposées, a déclaré Dragos, une grande entreprise de cybersécurité.
« Je pense que nous ne verrons pas un seul grand fournisseur de logiciels dans le monde – du moins du côté industriel – ne pas avoir de problème avec cela », a déclaré Sergio Caltagirone, vice-président de la société de renseignement sur les menaces.
Le département américain de la Sécurité intérieure a ordonné aux agences fédérales de trouver et de corriger de toute urgence les bogues, car le petit morceau de code est si facilement exploitable – et de dire à ceux qui ont des réseaux publics de mettre en place des pare-feu s’ils ne peuvent pas en être sûrs.
La Cybersecurity and Infrastructure Security Agency, ou CISA, dirigée par Easterly, a mis en place mardi une page de ressources pour traiter la faille qui, selon elle, est présente dans des centaines de millions d’appareils. D’autres pays fortement informatisés le prenaient tout aussi au sérieux, l’Allemagne activant son centre national de crise informatique.
Eric Goldstein, qui dirige la division cybersécurité de CISA, a déclaré qu’aucune agence fédérale n’était connue pour avoir été compromise. Mais ce sont les premiers jours.
« Ce que nous avons ici est une vulnérabilité extrêmement répandue, facile à exploiter et potentiellement très dommageable qui pourrait certainement être utilisée par des adversaires pour causer de réels dommages », a-t-il déclaré.
Goldstein a déclaré aux journalistes lors d’un appel mardi soir que la CISA mettrait à jour un inventaire des logiciels corrigés au fur et à mesure que des correctifs seraient disponibles. « Nous nous attendons à ce que l’assainissement prenne du temps », a-t-il déclaré.
Apache Software Foundation a déclaré que le géant chinois de la technologie Alibaba l’avait informé de la faille le 24 novembre. Il a fallu deux semaines pour développer et publier un correctif.
Au-delà des correctifs, les professionnels de la sécurité informatique ont un défi encore plus redoutable : essayer de détecter si la vulnérabilité a été exploitée, c’est-à-dire si un réseau ou un appareil a été piraté. Cela signifiera des semaines de surveillance active. Un week-end frénétique à essayer d’identifier – et de claquer – les portes ouvertes avant que les pirates ne les exploitent se transforme désormais en marathon.
Accalmie avant la tempête
« Beaucoup de gens sont déjà assez stressés et assez fatigués de travailler tout le week-end – alors que nous allons vraiment nous en occuper dans un avenir prévisible, jusqu’en 2022 », a déclaré Joe Slowik, responsable du renseignement sur les menaces au réseau. société de sécurité Gigamon.
Pour l’instant, aucune infection réussie de ransomware exploitant la faille n’a été détectée, bien que Microsoft ait déclaré dans un article de blog que des criminels qui pénètrent dans les réseaux et vendent l’accès à des gangs de ransomwares ont été détectés en exploitant la vulnérabilité dans les systèmes Windows et Linux. Il a déclaré que les criminels intégraient également rapidement la vulnérabilité dans les botnets qui enferment plusieurs ordinateurs zombies à des fins larcins.
« Je pense que ce qui va se passer, c’est qu’il faudra deux semaines avant que l’effet de cela ne se fasse sentir, car les pirates informatiques sont entrés dans les organisations et détermineront ce qu’il faut faire ensuite. » John Graham-Cumming, directeur technique de Cloudflare, dont l’infrastructure en ligne protège les sites Web contre les menaces en ligne.
Le chercheur principal Sean Gallagher de la société de cybersécurité Sophos a déclaré que nous étions dans l’accalmie avant la tempête.
Attention : Nous constatons beaucoup de balayages par rapport au #log4j vulnérabilité et a décidé de publier un article de blog avec quelques conseils : https://t.co/dtEXfY1G16
Veuillez patcher maintenant ! pic.twitter.com/HSedlSed0V
— GovCERT.ch (@GovCERT_CH) 12 décembre 2021
« Nous nous attendons à ce que les adversaires saisissent autant d’accès à tout ce qu’ils peuvent obtenir en ce moment en vue de le monétiser et/ou d’en tirer parti plus tard. » Cela comprendrait l’extraction des noms d’utilisateur et des mots de passe.
Microsoft a déclaré que le même groupe de cyberespionnage chinois qui avait exploité une faille dans son logiciel Exchange Server sur site au début de 2021 utilisait Log4j pour « étendre son ciblage typique ».
Code non vérifié
L’épisode Log4j expose un problème mal résolu dans la conception de logiciels, selon les experts. Trop de programmes utilisés dans des fonctions critiques n’ont pas été développés avec suffisamment de réflexion sur la sécurité.
Les développeurs open source comme les bénévoles responsables de Log4j ne devraient pas être autant blâmés que toute une industrie de programmeurs qui incluent souvent aveuglément des extraits de ce code sans faire preuve de diligence raisonnable, a déclaré Slowik de Gigamon.
Les applications populaires et personnalisées manquent souvent d’une « nomenclature logicielle » qui permet aux utilisateurs de savoir ce qu’il y a sous le capot, un besoin crucial dans des moments comme celui-ci.
« Cela devient évidemment de plus en plus un problème car les éditeurs de logiciels utilisent dans l’ensemble des logiciels librement disponibles », a déclaré Caltagirone de Dragos.
Dans les systèmes industriels en particulier, a-t-il ajouté, les anciens systèmes analogiques dans tous les domaines, des services d’eau à la production alimentaire, ont été mis à niveau numériquement au cours des dernières décennies pour une gestion automatisée et à distance.
« Et l’une des façons dont ils l’ont fait, évidemment, était par le biais de logiciels et par l’utilisation de programmes qui utilisaient Log4j », a déclaré Caltagirone.