Cyberattaque : Bombardier revient sur la liste des victimes de Cl0p

[Mise à jour le 2 mars 2021 @ 14h45] Les opérateurs de Cl0p continuent à engranger les victimes en s’attaquant à leurs appliances de transfert de fichiers (FTA) Accellion. Ils viennent d’ajouter à leur tableau de chasse le spécialiste français des géosciences CGG. Mais bizarrement, et presque dans le même temps, ils ont rajouté la page relative à Bombardier sur leur site Web. Mais les données présentées en exemple ne sont plus les mêmes que la première fois, et la référence à un premier jeu de données à télécharger n'est toujours pas réapparue.

[Mise à jour le 25 février 2021 @ 18h50] Les opérateurs de Cl0p continuent à engranger les victimes en s’attaquant à leurs appliances de transfert de fichiers (FTA) Accellion. Ils viennent d’ajouter à leur tableau de chasse Steris. Mais bizarrement, et presque dans le même temps, ils ont supprimé les éléments relatifs à Bombardier de leur site Web. Nous avons interrogé l’avionneur à ce sujet, lui demandant notamment si un accord avait été trouvé avec les attaquants. Dans un courriel à la rédaction, celui nous a prosaïquement répondu que « nous ne commentons par les sujets de cette nature [et notamment un éventuel paiement de rançon, N.D.L.R.] ou se rapportant autrement à des groupes criminels ». Et cela tout en assurant « continuer de collaborer pleinement avec les autorités dans le cadre de cette brèche de données ».

[Mise à jour le 23 février 2021 @ 21h00] Dans un communiqué, Bombardier vient de reconnaître avoir été « récemment l’objet d’une attaque de cybersécurité aux conséquences limitées ». Selon l’avionneur, « un tiers non autorisé a accédé à des données et les a extraites en tirant parti d’une faille dans une application de transfert de fichiers d’un tiers qui s’exécutait sur des serveurs spécialisés isolés du principal réseau IT de Bombardier ». Il assure que les premières analyses « ont confirmé de façon indépendante que les contrôles de sécurité de l’entreprise ont été efficaces pour limiter la portée et l’étendue de l’incident ».

Pour mémoire, Bombardier utilisait l’appliance de transfert de fichier (FTA) d’Accellion, dont des vulnérabilités ont déjà été exploitées, chez d’autres utilisateurs, pour compromettre des données, par le même groupe d’attaquants. Nous avons identifié quelques dizaines d’organisations, notamment outre-Atlantique et en Europe, susceptibles d’avoir constitué des cibles potentielles pour les attaquants impliqués. La liste de victimes revendiquées par les opérateurs de la campagne Cl0p pourrait donc bien s’allonger dans les jours et les semaines à venir.

[Article original] Les opérateurs du ransomware Cl0p affirment, sur leur blog, avoir dérobé des fichiers à Bombardier. Ils n’indiquent pas le volume de données concernées, mais présentent, sur leur blog des captures d’écran de ce qui ressemble à des fichiers de CAD, et notamment liés à l’un des jets de l’avionneur canadien, entre autres données techniques. Bombardier n’a pas répondu aux demandes adressées par e-mail par la rédaction, à l’heure où sont publiées ces lignes. Nous ne manquerons pas de mettre à jour cet article lorsque ces réponses nous parviendront.

L’avionneur allonge ainsi la liste des victimes récemment revendiquées par les opérateurs du rançongiciel Cl0p, dont l’American Bureau of Shipping (eagle.org), Jones Day, SingTel, Fugro et Danaher. Et ce n’est peut-être pas un hasard. Brett Winterford, sur le blog Risky.biz, a établi un lien entre les cinq dernières de ces victimes : « toutes ces cinq entreprises ont historiquement publié des portails Web où clients ou tiers pouvaient envoyer et recevoir des fichiers volumineux en utilisant l’appliance de transfert de fichiers Accellion ». Et cela vaut aussi pour Bombardier, selon les données du moteur de recherche spécialisé Shodan, au moins jusqu’à la fin janvier.

Et justement, dans un billet de blog, les équipes de Mandiant, une division de FireEye, expliquent que, « depuis la mi-décembre 2020, les acteurs malicieux suivis par Mandiant sous la désignation UNC2546 ont exploité de multiples vulnérabilités inédites dans l’appliance de transfert de fichiers (FTA) historique d’Accellion pour installer un web shell nouvellement découvert baptisé Dewmode ». Et plusieurs organisations touchées ont commencé à recevoir des e-mails d’extorsion menaçant de publier les données dérobées à l’aide de web shell sur le blog des opérateurs du ransomware Cl0p.

Les activités liées à ce blog étaient jusqu’ici suivies par Mandiant avec la désignation UNC2582. Et Mandiant indique avoir observé des liens avec des opérations antérieures du groupe FIN11, considéré comme un spin-off de TA505, groupe sur lequel l’Agence nationale pour la sécurité des systèmes d’information (Anssi) s’est penchée avec force détails au mois de juin 2020. 

Dans un communiqué de presse, Accellion s’appuie sur l’analyse de Mandiant pour « recommander fortement les clients de FTA de migrer sur Kiteworks, [sa] plateforme de pare-feu pour contenus d’entreprise ». Et de rappeler toutefois avoir corrigé « toutes les vulnérabilités connues de FTA exploitées par des acteurs malveillants », tout en ajoutant des capacités additionnelles de supervision et d’alerte pour identifier « les anomalies associées à ces vecteurs d’attaque ».