il y a du calme semaines dans le monde de la sécurité, et puis il y a des semaines comme celle-ci.
Lundi a débuté avec le gang d’extorsion de dollars Lapsus – un groupe de cybercriminels si bizarre et avec des cibles si médiatisées que certaines personnes soupçonnaient qu’il s’agissait de pirates informatiques parrainés par l’État russe – affirmant qu’il avait violé Okta, une société de services d’authentification populaire, quelques heures seulement après il a divulgué le code source de la recherche Bing de Microsoft, de Bing Maps et de l’assistant vocal Cortana. Étant donné qu’Okta est utilisé par quelque 14 000 entreprises, les nouvelles semblaient “vraiment, vraiment mauvaises”, comme l’a déclaré un expert en sécurité à WIRED. un employé du sous-traitant tiers Okta Sykes, mettant potentiellement en danger jusqu’à 366 clients.Mais, comme nous le verrons ci-dessous, ce n’était que le début de la semaine mouvementée de Lapsus$.
La guerre tragique de la Russie contre l’Ukraine, quant à elle, continue d’éclipser tout le reste. Alors que la destruction déstabilisatrice se poursuit, nous avons détaillé la corde raide que le président Biden (et, par extension, l’alliance de l’OTAN) doit marcher alors que le président russe Vladimir Poutine s’isole de plus en plus et que la probabilité apparente que la Russie revendique le contrôle de l’Ukraine diminue. Nous avons également jeté un coup d’œil sur le plus grand piratage qui ait eu lieu depuis le début de la guerre fin février. L’attaque, contre le réseau terrestre du satellite KA-SAT appartenant à la société américaine Viasat, a bloqué des modems et mis hors ligne quelque 27 000 clients à travers l’Europe. Le mystère de l’auteur de l’attaque aurait cependant été résolu. (Indice : Russie.)
La saga incessante des pirates informatiques russes a culminé jeudi lorsque le ministère américain de la Justice a dévoilé une paire d’actes d’accusation contre des pirates informatiques présumés du gouvernement russe qui, selon les autorités, ont ciblé des sociétés énergétiques américaines et internationales dans le monde entier. Un acte d’accusation porte sur trois pirates informatiques qui travailleraient pour l’agence de renseignement russe FSB, dans le cadre d’un groupe connu par les chercheurs en sécurité sous le nom de Berserk Bear, Dragonfly 2.0 et Havex. Alors que le piratage présumé de Berserk Bear visait des installations nucléaires aux États-Unis, le groupe n’est pas connu pour avoir causé des destructions physiques dans le cadre de ses activités de piratage. On ne peut pas en dire autant du groupe de hackers russe connu sous le nom de Xenotime, qui, selon les chercheurs en sécurité, a causé des perturbations dans une raffinerie de pétrole saoudienne en 2017 et, selon le deuxième acte d’accusation dévoilé jeudi, a ciblé une raffinerie de pétrole américaine avec des intentions tout aussi dangereuses.
Suivez les dernières nouvelles sur ces histoires et plus encore dans le tour d’horizon des nouvelles sur la sécurité de cette semaine.
Peu de temps après que Lapsus$ ait affirmé avoir piraté Okta et divulgué le code source de Microsoft (ce que Microsoft a confirmé plus tard), Bloomberg a rapporté que des chercheurs en sécurité avaient identifié le chef de file du gang comme étant un adolescent d’Oxford, au Royaume-Uni, qui est “tellement doué pour le piratage et si rapide”. que les chercheurs pensaient initialement que l’activité qu’ils observaient était automatisée. Les arrestations qui ont suivi ont été presque aussi rapides : la BBC a rapporté quelques heures après le rapport de Bloomberg que la police de la ville de Londres avait arrêté sept personnes, âgées de 16 à 21 ans, en lien avec l’activité de Lapsus$, qui en plus de cibler Okta et Microsoft aurait inclus le piratage de Samsung, Nvidia, EA et Ubisoft. Le jeune de 16 ans identifié par les chercheurs en sécurité faisait peut-être partie ou non du groupe arrêté. Quoi qu’il en soit, la police aurait relâché les sept sans inculpation, et l’énergie chaotique du gang s’est jusqu’à présent poursuivie sans relâche.
La principale question persistante concernant le piratage du satellite Viasat, qui a perturbé les communications militaires ukrainiennes ainsi que celles de dizaines de milliers de clients civils et d’entreprises à travers l’Europe, était le polar ? La réponse, comme prévu, était la Russie, selon des responsables américains anonymes qui se sont entretenus avec le Washington Post. Plus précisément, l’attaque aurait été lancée par le GRU, l’agence de renseignement militaire russe. Alors que le GRU abrite Sandworm, le groupe de hackers responsable des cyberattaques dévastatrices contre l’Ukraine et du lancement de la coûteuse cyberattaque NotPetya, on ne sait pas si les hackers de Sandworm ont été impliqués dans le piratage de Viasat.
La Maison Blanche a averti lundi les entreprises américaines de “l’évolution des renseignements selon lesquels la Russie pourrait explorer des options pour des cyberattaques potentielles” en représailles aux sanctions américaines contre la Russie pour sa guerre contre l’Ukraine. La Maison Blanche a fourni peu de détails, mais a fait allusion à des briefings classifiés pour des cibles potentielles et a exhorté les entreprises à mettre en place des mesures de sécurité plus strictes. Compte tenu de la tactique de l’administration Biden consistant à divulguer des renseignements à l’approche de l’invasion russe de l’Ukraine le mois dernier, qui s’est avérée exacte, beaucoup ont supposé qu’une attaque pourrait être imminente. Au fil de la semaine, plus de détails ont émergé : CNN a rapporté que le FBI avait averti cinq sociétés énergétiques américaines que des pirates informatiques russes avaient scanné leurs réseaux – une première étape souvent utilisée pour identifier les voies d’attaque potentielles. Et l’Agence américaine de cybersécurité et de sécurité des infrastructures a organisé un appel avec plus de 13 000 « parties prenantes » de l’industrie pour répondre à leurs questions et encourager davantage une sécurité plus robuste sur les réseaux d’entreprise.
La Russie n’est pas le seul pays dont les pirates ont été occupés. Le groupe d’analyse des menaces de Google a révélé cette semaine que des pirates nord-coréens avaient exploité avec succès une vulnérabilité zero-day dans le navigateur Web Chrome pendant environ un mois avant que la société ne publie un correctif. Une campagne, que les chercheurs de TAG ont surnommée Operation Dream Job, ciblait quelque 250 personnes dans les médias et la technologie avec de faux e-mails de recruteurs d’emplois contenant un lien qui, une fois cliqué, lancerait le kit d’exploitation. L’autre campagne, Operation AppleJeus, ciblait spécifiquement 85 personnes dans la crypto-monnaie et la fintech en utilisant le même kit d’exploit que celui déployé dans Operation Dream Job. Alors que les pirates nord-coréens ont déjà utilisé des tactiques similaires, la révélation sert de rappel pour toujours mettre à jour vos applications.
Plus de grandes histoires WIRED