Posté le mai 29, 2020 à 17:59
LE GROUPE SANDWORM EST RESPONSABLE DE L’ATTAQUE D’EXIM MTA, SELON LA NSA
La NSA (National Security Agency) a averti hier les organisations qu’un groupe de hackers sophistiqué exploitait une faille trouvée dans un logiciel de messagerie électronique couramment utilisé.
Le groupe de hackers, connu sous le nom de Sandworm team, est sponsorisé par le gouvernement russe alors qu’il tente d’utiliser le logiciel pour un piratage complet afin d’infiltrer des organisations importantes.
La direction de la cybersécurité de la NSA a déclaré que le groupe de hackers est issu de l’agence de renseignement militaire russe. Les cybercriminels exploitent une faiblesse du logiciel de messagerie du MTA, et des rapports ont révélé que cela se produisait depuis août 2019.
Le communiqué de la NSA a révélé que les acteurs étatiques russes ont exploité la vulnérabilité pour désactiver la sécurité du réseau, ajouter des privilèges et exécuter des scripts supplémentaires pour de futures attaques. L’attaque réussira très probablement sur tout réseau qui utilise une version non patchée du logiciel de messagerie Exim MTA.
Les utilisateurs doivent mettre à jour leur logiciel immédiatement
La NSA a conseillé aux utilisateurs de mettre rapidement à jour leur logiciel pour éviter de s’exposer davantage à l’attaque. L’agence a également averti que tout utilisateur qui disposerait encore de la version obsolète dans son réseau serait susceptible d’être attaqué par l’acteur étatique.
Le groupe Sandworm est un groupe de hackers notoire qui existe depuis dix ans. Le groupe a été responsable de diverses attaques à grande échelle dans le monde cybernétique, en particulier dans les organisations gouvernementales.
« Lorsque le patch a été sorti l’année dernière, Exim a demandé à ses utilisateurs de se mettre à jour avec la dernière version », explique l’agence. Elle a également encouragé les utilisateurs concernés à installer immédiatement le correctif pour assurer la sécurité de leur réseau.
Le groupe de hackers sophistiqués a été associé à diverses attaques de grande envergure dans les domaines des télécommunications, de l’énergie et des cyberattaques contre des gouvernements en Pologne et en Ukraine, ainsi que contre l’Union européenne et l’OTAN.
Le groupe de hackers a également été impliqué dans les attaques de NotPetya en 2017, où des milliards de dollars ont été endommagés en Asie, aux États-Unis et en Europe.
En février, Sandworm a été accusé de l’attaque de taille de sites web privés et gouvernementaux en Géorgie.
La vulnérabilité est très dangereuse
Selon le président de Silverbird Policy Accelerator et fondateur de la société de cybersécurité CrowdStrike, Dmitri Alperovitch, la vulnérabilité du courrier électronique du MTA est très dangereuse. Elle peut amener l’un des acteurs les plus sophistiqués du cybernétique à prendre le contrôle du sanctuaire intérieur des réseaux gouvernementaux et des entreprises. Cela peut être catastrophique si le hacker réussit à infiltrer une organisation gouvernementale très importante.
Il a déclaré que c’est une bonne chose que la NSA ait pris sur elle pour protéger les organisations, ce qui montre le niveau de menace que cet acteur d’État peut représenter du fait de la vulnérabilité.
Par conséquent, il est important que les organisations donnent la priorité à la défense et fassent de sérieux efforts pour atténuer tout type de menace cybernétique, a-t-il dit.
D’autres groupes de hackers pourraient prendre exemple sur Sandworm
Le président de la société de sécurité Cyber Threat Alliance, Michael Daniel, a également ajouté son point de vue sur la vulnérabilité et la probabilité que d’autres personnes prendre exemple sur le piratage. Il a déclaré qu’étant donné la nature actuelle de la vulnérabilité, d’autres acteurs pourraient suivre la voie des hackers russes soutenus par le gouvernement.
Comme les Russes exploitent la vulnérabilité, cela peut aussi signifier que d’autres acteurs en profitent également. Il a en outre déclaré que si un quelconque groupe de hackers pouvait mener ces attaques sur les réseaux, l’organisation n’aurait rien ou presque à faire pour les arrêter. C’est pourquoi il est important de toujours installer la dernière mise à jour du logiciel avant d’utiliser le réseau.
Michael a également reconnu que le correctif recommandé par la NSA est efficace.
La NSA est déterminée à lutter contre les cyberattaques sophistiquées
La NSA a récemment restructuré et relancé sa direction de la cybersécurité en octobre de l’année dernière. L’agence a intensifié ses efforts pour diffuser le plus rapidement possible davantage d’informations non classifiées sur les menaces.
Elle permettra aux secteurs et organisations privés de fournir une protection meilleure et immédiate contre ces attaques. L’agence a créé un nouveau compte Twitter @NSACyber pour les mises à jour et les alertes concernant les menaces pesant sur la sécurité des organisations.
