weerapat1003 - stock.adobe.com

Avec Qualys, les opérateurs de Cl0p continuent d’aligner les victimes

Les assaillants ajoutent quasiment une nouvelle victime à leur tableau de chasse par jour. Le 2 mars, le spécialiste français des géosciences CGG y faisait son apparition. Aujourd’hui, c’est au tour de Qualys.

[mise à jour le 4 mars 2021 @ 8h00] Nous n'avons pas reçu de réponse directe à nos demandes, mais Qualys a publié dans la nuit un billet de blog dans lequel il reconnaît un vol de données sur un système FTA d'Accellion, et tente de rassurer. Il assure avoir été alerté d'une atteinte à l'intégrité du système le 24 décembre et l'avoir immédiatement isolé du réseau et arrêté. Mais comme nous l'indiquions précédemment, les données historiques de Shodan ne sont pas cohérentes avec cette chronologie. 

Qualys indique en outre que la FTA d'Accellion était utilisée « pour le transfert chiffré temporaire de fichiers manuellement téléversés ». Mais la gestion du cycle de vie de ces fichiers ne semble pas avoir tenu compte avec une rigueur absolue de cette dimension « temporaire » : selon les éléments présentés par les assaillants, des données datant de 2016 étaient accessibles sur la FTA compromise. 

Enfin, Qualys assure que seul un nombre « limité » de clients a été affecté par cette intrusion et que tous ont été « immédiatement » alertés. 

[article original] Les opérateurs de Cl0p continuent d’engranger les victimes en s’attaquant à leurs appliances de transfert de fichiers (FTA) Accellion. Après le spécialiste français des géosciences CGG, Steris, CSX ou encore Bombardier, ils viennent d’ajouter à leur tableau de chasse Qualys. Et là encore, sur l’infrastructure de l’éditeur, on trouve les traces d’une FTA Accellion. Et pourtant, celle-ci n’était pas configurée pour gérer directement l’authentification : les outils d’Okta étaient là pour cela. La FTA en question répondait encore présente au moteur de recherche spécialisé Shodan le 18 février.

Dans un billet de blog, les équipes de Mandiant, une division de FireEye, expliquaient récemment que, « depuis la mi-décembre 2020, les acteurs malicieux suivis par Mandiant sous la désignation UNC2546 ont exploité de multiples vulnérabilités inédites dans l’appliance de transfert de fichiers (FTA) historique d’Accellion pour installer un web shell nouvellement découvert baptisé Dewmode ». Et plusieurs organisations touchées ont commencé à recevoir des e-mails d’extorsion menaçant de publier les données dérobées à l’aide de web shell sur le blog des opérateurs du ransomware Cl0p.

Les activités liées à ce blog étaient jusqu’ici suivies par Mandiant avec la désignation UNC2582. Et Mandiant indique avoir observé des liens avec des opérations antérieures du groupe FIN11, considéré comme un spin-off de TA505, groupe sur lequel l’Agence nationale pour la sécurité des systèmes d’information (Anssi) s’est penchée avec force détails au mois de juin 2020. 

Dans un communiqué de presse, Accellion s’appuie sur l’analyse de Mandiant pour « recommander fortement les clients de FTA de migrer sur Kiteworks, [sa] plateforme de pare-feu pour contenus d’entreprise ».

Et de rappeler toutefois avoir corrigé « toutes les vulnérabilités connues de FTA exploitées par des acteurs malveillants », tout en ajoutant des capacités additionnelles de supervision et d’alerte pour identifier « les anomalies associées à ces vecteurs d’attaque ».

Le groupe UNC2546, comme le désigne Mandiant, semble avoir engrangé plusieurs victimes et prendre son temps pour les égrainer, de sorte à pouvoir faire pression au mieux sur chacune d’elles. Ainsi, l’infrastructure de CSX a bien exposé par le passé une FTA d’Accellion. Mais selon les données de Shodan, celle-ci semble avoir été mise hors ligne entre le 2 et le 7 janvier derniers. Il y a donc près de deux mois.

Mi-janvier, Accellion indiquait avoir fourni un correctif « sous 72 heures », après avoir été averti mi-décembre de l’exploitation des vulnérabilités, « aux moins de 50 clients affectés ». La question se pose aujourd’hui clairement de savoir si tous avaient effectivement été identifiés, et combien ont effectué les correctifs à temps, voire notifié les tiers appropriés du risque de vol de données.

Nous avons adressé à Qualys une demande de commentaires par e-mail et nous ne manquerons pas de mettre à jour cet article lorsque nous parviendront les réponses de l’éditeur. Ironie de l’histoire, Qualys avait trouvé, fin 2016, une vulnérabilité sur les FTA d’Accellion.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close