Au début de cette année, un groupe de pirates informatiques associés au gouvernement chinois et connu sous le nom de Hafnium a exploité une vulnérabilité dans le serveur Exchange de Microsoft . L'attaque leur a permis d'accéder à plus de 60 000 serveurs, y compris ceux de grandes entreprises et de banques.
Cette attaque est distincte du piratage SolarWinds qui a touché des milliers de clients l'année dernière via une vulnérabilité de porte dérobée dans le logiciel de l'entreprise. Dans ce cas, un groupe russe a pu se greffer sur le logiciel de SolarWinds, qui, lorsqu'il est installé via une mise à jour sur les réseaux clients, a permis aux pirates de déployer un code malveillant. Dans ce cas, Microsoft a travaillé avec la société de cybersécurité FireEye pour arrêter l'attaque en absorbant le domaine utilisé pour recevoir des instructions supplémentaires.
L'attaque d'Exchange Server était différente, en ce sens qu'elle profitait d'une faille de sécurité connue qui affectait les serveurs d'échange sur site. Connue sous le nom d'attaque zero-day, les pirates ont pu exploiter la vulnérabilité sans aucune interaction de la part de l'utilisateur et sans qu'il sache qu'un code malveillant avait été placé sur le serveur. La violation était si répandue que l'administration Biden a appelé à une 'réponse de l'ensemble du gouvernement'.
Il semble que Microsoft était première notification du problème en janvier , mais n'a pas publié de correctif avant mars. C'était aussi la première fois que le problème était reconnu publiquement. Pendant ce temps, les pirates ont eu accès à des informations sensibles dans des milliers d'entreprises, d'agences gouvernementales et d'autres organisations.
Depuis lors, beaucoup ont pu corriger la faille et supprimer le code malveillant, connu sous le nom de web shells. Cependant, certains utilisateurs n'avaient pas encore atténué l'attaque. Même s'ils avaient installé le correctif, le gouvernement a déclaré que quelques centaines d'organisations n'avaient pas supprimé les shells Web des serveurs infectés.
Cela les a rendus vulnérables non seulement aux pirates informatiques d'origine, mais, une fois la porte dérobée devenue publique, à d'autres groupes qui ont profité du même exploit.
Dans un déclaration , le ministère de la Justice a déclaré :
Tout au long du mois de mars, Microsoft et d'autres partenaires de l'industrie ont publié des outils de détection, des correctifs et d'autres informations pour aider les entités victimes à identifier et à atténuer ce cyberincident. De plus, le FBI et la Cybersecurity and Infrastructure Security Agency ont publié un avis conjoint sur la compromission de Microsoft Exchange Server le 10 mars. Logiciel serveur.
Maintenant, avec la bénédiction d'un tribunal fédéral de Houston, le FBI utilise le même ensemble d'outils que les pirates informatiques et accède aux serveurs pour supprimer le code malveillant. Dans la plupart des cas, cela se produit à l'insu ou à l'insu du propriétaire du serveur.
Je pense qu'il est juste de dire que c'est sans précédent. Le gouvernement fédéral n'est généralement pas autorisé à pirater et à supprimer du contenu d'un réseau informatique. Je ne suggère pas que ce qu'ils ont fait était illégal - ce n'était clairement pas le cas, d'où l'ordre d'un juge. Cela révèle cependant que le gouvernement fédéral dispose de capacités extraordinaires en matière de cybersécurité.
Juste hier Le Washington Post signalé comment le FBI a pu déverrouiller l'iPhone du tireur de San Bernardino. L'agence a utilisé une société australienne, Azimuth, pour développer un moyen d'accéder à l'appareil au centre d'une énorme bataille entre Apple et les forces de l'ordre fédérales.
Dans le cas d'Exchange Server, le gouvernement a estimé que le risque de compromis supplémentaires pour les entreprises impliquées justifiait une action drastique. 'Cette opération autorisée par le tribunal pour copier et supprimer des shells Web malveillants de centaines d'ordinateurs vulnérables montre notre engagement à utiliser toute ressource viable pour lutter contre les cybercriminels', a déclaré la procureure américaine par intérim Jennifer B. Lowery du district sud du Texas.
quel âge a james starks
Essentiellement, le gouvernement suggère que si les entreprises ne prennent pas de mesures pour protéger leur réseau et éliminer les cybermenaces, elles sont prêtes à intervenir et à faire jouer leurs propres cyber muscles. Cela signifie que si vous souhaitez garder le FBI hors de votre entreprise à l'avenir, gardez la porte dérobée fermée.
