Posté le février 20, 2023 à 7:11

GODADDY ADMET UNE NOUVELLE VIOLATION DE DONNÉES APRÈS LA DÉCOUVERTE D’UN LOGICIEL MALVEILLANT INSTALLÉ PAR DES HACKERS

Les serveurs du site web de GoDaddy ont été la dernière victime d’une attaque informatique. Les acteurs de la menace ont obtenu l’accès aux serveurs de l’entreprise et ont installé un logiciel malveillant. Le logiciel malveillant a été utilisé pour déclencher des redirections intermittentes sur le site Web du client.

Les serveurs de GoDaddy sont victimes d’une violation

GoDaddy est l’une des plus grandes sociétés d’hébergement web au monde. La société vient de publier une alerte concernant une tentative de piratage de l’entreprise, au cours de laquelle des acteurs de la menace ont volé le code source et l’ont utilisé pour installer un logiciel malveillant sur ses serveurs. Le logiciel malveillant a été installé après une violation de son environnement d’hébergement partagé cPanel. La violation de GoDaddy se produirait depuis plusieurs années.

GoDaddy a détecté cette violation après des rapports de ses clients en décembre de l’année dernière. Selon GoDaddy, les sites de l’entreprise étaient utilisés par des acteurs malveillants pour rediriger les utilisateurs vers des domaines aléatoires. Les attaquants ont réussi à garder le contrôle du réseau de l’entreprise pendant plusieurs années.

GoDaddy a fourni des informations détaillées sur cette violation dans un document déposé auprès de la SEC (Securities and Exchange Commission). La société d’hébergement Web a déclaré que ses enquêtes avaient montré que les incidents de piratage faisaient partie d’une campagne pluriannuelle menée par un groupe d’acteurs de la menace.

Selon GoDaddy, ce groupe d’acteurs de menaces a installé des logiciels malveillants sur les systèmes de l’entreprise et a eu accès au code lié à certains des services fournis par l’entreprise. Dans le dépôt de la SEC, l’entreprise a également déclaré que les précédentes violations de l’entreprise divulguées en mars 2020 et novembre 2021 étaient liées à la campagne pluriannuelle contre l’entreprise.

En novembre 2021, GoDaddy a signalé qu’une violation de données avait touché 1,2 million de clients de Managed WordPress. Cette violation s’est produite après que les acteurs de la menace ont obtenu l’accès à l’environnement d’hébergement WordPress de GoDaddy. Ils ont eu accès aux adresses électroniques des clients concernés, aux mots de passe de l’administrateur WordPress, aux identifiants sFTP et de base de données, ainsi qu’aux clés privées SSL des clients actifs.

En mars 2020, GoDaddy a également subi une autre attaque. À l’époque, elle a émis des alertes à 28 000 clients, les informant qu’un hacker  avait utilisé les informations d’identification de leur compte d’hébergement Web en octobre de l’année précédente pour se connecter à leurs comptes d’hébergement en utilisant SSH.

GoDaddy a déjà fait appel aux services d’experts en cybersécurité pour remédier à cette violation. L’entreprise collabore avec des experts en cybersécurité et les autorités chargées de l’application de la loi dans le monde entier pour résoudre ce problème. La société d’hébergement Web travaille avec ces entreprises pour identifier la cause profonde de cette violation.

La violation de GoDaddy associée à d’autres sociétés d’hébergement web

Selon GoDaddy, il existe des preuves montrant que les acteurs de la menace qui ont infiltré l’entreprise sont les mêmes que ceux qui ont ciblé d’autres sociétés d’hébergement Web dans le monde entier ces dernières années.

La déclaration publiée par la société à ce sujet indique : « Nous avons des preuves, et les forces de l’ordre l’ont confirmé, que cet incident a été mené par un groupe sophistiqué et organisé ciblant des services d’hébergement comme GoDaddy. »

L’entreprise a déclaré que les clients touchés par cette violation avaient déjà été informés. En outre, les services des régulateurs ont été sollicités, bien que la résolution et l’issue de cette affaire restent incertaines.

La société a indiqué que les informations recueillies jusqu’à présent sur cet incident montrent que l’objectif principal de la violation était d’installer des logiciels malveillants sur des serveurs et des sites Web pour mener des campagnes de phishing et distribuer des logiciels malveillants. Les hackers ont également profité de ces violations pour mener diverses activités malveillantes.

L’hébergeur a par ailleurs déclaré qu’il continuerait à surveiller le comportement de ces hackers et à bloquer toute nouvelle tentative de violation de ses serveurs. L’hébergeur a ajouté qu’il recueillait activement des preuves et des informations sur les tactiques déployées par les acteurs de la menace et les techniques utilisées pour aider les forces de l’ordre dans leurs enquêtes.

Néanmoins, les enquêtes menées par la société sur cette affaire et les assurances données aux utilisateurs n’ont pas suscité l’espoir que les utilisateurs seront en sécurité, mais elles n’ont pas encore été accueillies avec enthousiasme, étant donné que c’est environ la troisième fois que les serveurs de GoDaddy ont été violés par le même groupe d’acteurs de la menace.

Cette violation a toutefois été signalée alors que les attaques de piratage se sont multipliées. Des hackers ont tenté d’obtenir un accès non autorisé à plusieurs systèmes, y compris ceux des ministères Américains. L’augmentation des campagnes de piratage est attribuée aux groupes d’hacktivistes Russes. Ces groupes ont ciblé des pays et des institutions censés soutenir l’Ukraine dans la guerre en cours avec la Russie.