Posté le mars 5, 2021 à 15:24
LA CHINE PIRATE MICROSOFT ET LA CISA DES ÉTATS-UNIS ÉMET UN AVERTISSEMENT APRÈS
Parfois, les nouvelles peuvent ressembler à de vieux thrillers d’espionnage. On peut dire beaucoup de choses sur le soi-disant « côté obscur » du monde, truffé d’espionnage, de trahisons et de sociétés secrètes. Certains de ces sujets sont même des arguments pour savoir si ce côté du monde existe.
Chacun a une opinion différente, et sauter sur certains groupes de conspiration peut soudain vous apporter la preuve « définitive » que l’Union soviétique a imité l’alunissage américain, entre autres.
Levons un peu le rideau
Or, nous vivons actuellement une période de véritable espionnage : Le gouvernement américain a lancé un avertissement d’urgence après que Microsoft ait signalé avoir surpris la Chine en train de pirater avec succès Exchange, son programme de serveur de messagerie et de calendrier.
Cette information a été révélée par un article de blog de Microsoft lui-même. Dans ce blog, Microsoft a expliqué en détail que le piratage lui-même était un exploit zero day, ce qui signifie qu’il s’agissait d’un exploit qui n’avait pas encore été découvert par le grand public.
Les acteurs ont attaqué divers serveurs Exchange sur site, ce qui leur a permis d’accéder à divers comptes de courrier électronique, en plus de l’installation de logiciels malveillants supplémentaires pour garantir un accès à long terme aux environnements victimes.
L’attaque a été coordonnée et précise, le centre de renseignement sur les menaces de Microsoft (MSTIC) ayant déclaré qu’il était très probable que l’attaque ait été réalisée par HAFNIUM.
Les acteurs responsables sont connus depuis longtemps
L’histoire devient de plus en plus intéressante. HAFNIUM est un groupe de hackers qui a été identifié comme étant sponsorisé par le Parti Communiste Chinois (PCC) et qui opère au sein même de la nation chinoise.
Selon le MSTIC, cette identification a été faite par l’observation des tactiques, de la victimologie et des procédures.Chaque entité a ses habitudes, et ce Modus Operandi (MO) semble pointer vers HAFNIUM.
HAFNIUM lui-même a pris l’habitude de cibler les industries américaines en général. Tout, des cabinets d’avocats aux centres de maladies infectieuses, en passant par les entreprises de défense, les établissements d’enseignement supérieur, les ONG et même les groupes de réflexion politique, fait partie de la liste des cibles d’HAFNIUM. En règle générale, HAFNIUM effectue également ces opérations par l’intermédiaire de VPN basés aux États-Unis.
Un autre aspect clé du mode opératoire de HAFNIUM est l’absence de « ransomware » ou de logiciel de rançon. Il semble que, quelle que soit la nature de leur infraction, ils exfiltrent les morceaux juteux de données vers divers sites de partage de fichiers, tels que MEGA, et n’essaient pas de voler quoi que ce soit à des fins monétaires. Et apparemment, le groupe a été très actif.
Par le biais de diverses autres campagnes sans rapport avec les vulnérabilités exploitées dans ce dernier piratage, HAFNIUM a interagi avec les locataires d’Office 365 victimes. Microsoft a déclaré que les comptes d’utilisateurs ne sont généralement pas exploités, mais a averti que tout cela est une expérience d’apprentissage constant pour l’équipe de piratage parrainée par la Chine.
La CISA des États-Unis émet des avertissements d’urgence
Il convient toutefois de noter que les vulnérabilités relatives à la violation elle-même avaient déjà été corrigées par Microsoft.
Comme on peut l’imaginer, ce genre de mesure met réellement le feu aux poudres. Peu de temps après l’annonce de Microsoft, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une directive d’urgence sur la question. Dans cette directive, la CISA a donné mandat à toutes les agences gouvernementales de mettre à jour leurs programmes Exchange avant vendredi 12h00.
Quelques divergences majeures dans le traitement des accusations
Maintenant, NBC News a essayé d’entrer en contact avec l’ambassade chinoise de Washington, et leur réponse consiste à faire référence aux commentaires d’un porte-parole, Wang Wenbin.
Wenbin a déclaré que la Chine, en tant que nation, a déclaré à de nombreuses reprises que la nature virtuelle du cyberespace rendait difficile le traçage des cyber-attaques. Cette situation, a déclaré Wenbin, n’est qu’aggravée par le nombre d’acteurs en ligne malveillants qui existent.
La déclaration conclut que la Chine espère que les médias et l’entreprise en question ne feront rien de trop irréfléchi, en demandant instamment l’adoption d’une attitude responsable et professionnelle à ce sujet.
En effet, la déclaration conclut en exhortant tout le monde à rassembler suffisamment de preuves avant de lancer des accusations « sans fondement » concernant l’identification de ces incidents cybernétiques.
Un déni d’implication très net, non incriminant et volontairement vague.
À ce stade, il pourrait être pertinent de revenir en 2016, lorsque des allégations ont été lancées contre le gouvernement russe pour l’assassinat d’Alexander Litvinenko, un ancien agent du KGB. Litvinenko a été assassiné après avoir été empoisonné au polonium 210, une substance radioactive qui est, très franchement, un moyen d’exécution horriblement efficace.
Les Russes étaient au moins effrontés de se défendre, à l’époque. Le Kremlin a averti que les découvertes concernant l’implication possible des services secrets russes dans l’assassinat pourraient « empoisonner » les relations entre le Royaume-Uni et la Russie. Au moins, ils se sont un peu amusés à nier tout ce qu’ils ont pu faire ou ne pas faire.
