Posté le mars 5, 2023 à 5:46

DES HACKERS ONT MENÉ UNE CAMPAGNE DE PLUSIEURS ANNÉES CONTRE L’HÉBERGEUR WEB GODADDY

Les acteurs de la menace pourraient avoir eu accès à GoDaddy pendant trois ans, et on pense qu’ils ont fait des ravages dans l’entreprise depuis mars 2020 environ. Les hackers pourraient être revenus à nouveau sur la plateforme ou n’être jamais partis malgré les efforts déployés par l’entreprise pour les expulser.

Des hackers seraient restés dans le réseau de GoDaddy pendant trois ans

GoDaddy a publié un communiqué admettant que des hackers pourraient avoir continué à espionner le réseau durant trois ans. Selon l’entreprise, les hackers à l’intérieur des systèmes de l’entreprise ont installé un logiciel malveillant sur le réseau et ont volé une partie du code.

La société a déclaré avoir détecté pour la première fois l’activité de ces hackers en décembre de l’année dernière. À l’époque, elle avait indiqué qu’une partie de ses clients avaient signalé que les sites web étaient redirigés vers d’autres domaines de manière mystérieuse.

Selon GoDaddy, l’entreprise enquêtait sur cette menace de sécurité et travaillait avec les forces de l’ordre qui l’ont informée que l’objectif de ces hackers était d’infecter ces serveurs et sites web avec des logiciels malveillants. Ces logiciels malveillants étaient utilisés dans le cadre de campagnes d’hameçonnage pour distribuer des logiciels malveillants et mener d’autres activités malveillantes.

GoDaddy a soumis un rapport à la Commission américaine des opérations de bourse (SEC). Elle a déclaré qu’elle pensait que les acteurs de la menace identifiés dans le récent exploit étaient les mêmes que ceux qui avaient été identifiés dans les réseaux de l’entreprise en mars 2020. Ces acteurs ont volé les identifiants de connexion de 28 000 clients et ont même obtenu les codes d’accès de certains employés de GoDaddy. À l’époque, l’hébergeur avait déclaré que les hackers avaient utilisé les identifiants de comptes d’hébergement web en octobre 2019 pour se connecter à leur compte d’hébergement à l’aide de SSH.

En novembre 2021, ces acteurs de la menace ont causé d’importants dégâts au sein de l’écosystème GoDaddy. À l’époque, les acteurs de la menace ont accédé à un mot de passe volé qui a été utilisé pour compromettre les comptes WordPress de 1,2 million de clients.

Lors de la violation de 2021, les hackers ont pu accéder aux adresses électroniques des utilisateurs, à leurs noms d’utilisateur, à leurs mots de passe et, dans certains cas, aux clés privées SSL des sites web. L’enquête menée par l’entreprise a révélé que les hackers auraient pu exploiter le réseau pendant plusieurs années.

« Sur la base de notre enquête, nous pensons que ces incidents font partie d’une campagne pluriannuelle menée par un groupe d’acteurs de menaces sophistiquées qui, entre autres choses, a installé des logiciels malveillants sur nos systèmes et obtenu des morceaux de code liés à certains services au sein de GoDaddy », indique le document déposé auprès de la SEC.

L’entreprise a également publié une déclaration à l’intention de ses clients dans laquelle elle s’excuse pour les désagréments que cette violation a pu causer à ses clients et aux personnes qui visitent ses sites web.

L’entreprise a laissé entendre qu’elle prendrait des mesures de sécurité supplémentaires pour s’assurer que des incidents similaires ne se reproduisent pas à l’avenir. « Nous tirons les leçons de cet incident pour renforcer la sécurité de nos systèmes et protéger davantage nos clients et leurs données », a ajouté l’entreprise.

Toutefois, les clients ne sont pas encore rassurés par l’engagement pris par l’entreprise de veiller à ce qu’une violation similaire ne se reproduise pas à l’avenir. L’entreprise rassurerait davantage d’utilisateurs si ce n’était pas la troisième fois que ses systèmes de sécurité étaient confrontés à une violation similaire. GoDaddy a d’ailleurs avoué avoir été ciblé par le même groupe d’acteurs de la menace dans le passé.

Les hackers pourraient viser d’autres hébergeurs

Bien que cet exploit puisse provenir des acteurs de la menace qui ont infiltré les systèmes de GoDaddy il y a trois ans, l’entreprise estime que les actions des hackers indiquent que la violation pourrait faire partie d’une campagne de piratage plus large ciblant les sociétés d’hébergement.

Selon GoDaddy, l’entreprise pourrait avoir trouvé des preuves supplémentaires indiquant que ces acteurs de la menace faisaient partie d’une campagne de piratage plus large qui a ciblé d’autres sociétés d’hébergement dans le monde entier au cours des dernières années. D’après cette analyse, d’autres sociétés d’hébergement web pourraient également avoir été visées, ce qui mettrait leurs clients en danger.

L’entreprise a fait une déclaration à ce sujet, indiquant qu’elle avait trouvé des preuves de campagnes de piratage similaires chez d’autres hébergeurs, ajoutant que cette activité avait été confirmée par les autorités chargées de l’application de la loi. Elle a ajouté que l’objectif derrière cette violation était d’installer des logiciels malveillants sur des sites web et des serveurs afin de mener des campagnes de phishing et d’autres activités malveillantes.

GoDaddy est l’une des plus grandes sociétés d’hébergement web au monde. La plateforme est utilisée par plus de 20 millions de clients qui comptent sur elle pour leurs services d’hébergement. Par conséquent, l’ampleur de cette violation pourrait être considérable en raison du grand nombre d’utilisateurs.