Cyberattaque : la Croix-Rouge confirme l’exploitation d’une vulnérabilité non corrigée

Un peu moins d’un mois après l’attaque qui a conduit à la compromission des « données personnelles et d’informations confidentielles sur plus de 515 000 personnes hautement vulnérables », le Comité international de la Croix-Rouge (ICRC) a partagé quelques éléments issus de l’enquête.

Ces éléments confirment ce que les données du moteur de recherche spécialisé Onyphe laissaient à suspecter : les attaquants ont exploité une vulnérabilité connue affectant un serveur Zoho ManageEngine, la CVE-2021-40539.

Cette vulnérabilité touche plus précisément l’application Java ADSelfService Plus. Son exploitation par des cyberdélinquants est connue depuis le 8 septembre 2021. Elle permet de contourner les mécanismes d’authentification. Un correctif est disponible depuis plusieurs mois.

En toute honnêteté, le Comité international de la Croix-Rouge reconnaît que « l’application rapide des correctifs critiques est essentielle à notre cybersécurité, malheureusement, nous n’avons pas appliqué ce correctif à temps avant que ne survienne l’attaque ». L’intrusion initiale semble remonter au 9 novembre 2021.

Le 16 septembre 2021, la CISA américaine a alerté sur l’exploitation de cette vulnérabilité par des attaquants soutenus par des États-nations, des APT, ou Advanced Persistant Threat.

Début novembre, la division 42 de Palo Alto Networks et Microsoft ont alerté sur des attaques en cours. Tous deux se sont en particulier penchés sur une campagne conduite par un acteur désigné par les équipes de Microsoft sous la référence DEV-0322, « un groupe opérant depuis la Chine, selon l’infrastructure observée, la victimologie, les tactiques et les procédures ».

L’ICRC ne fournit pas de marqueurs techniques, mais évoque quelques éléments susceptibles de suggérer cette piste. Ainsi, selon le Comité, les attaquants ont utilisé des outils de sécurité offensive « principalement utilisés par les groupes APT, qui ne sont pas disponibles publiquement et sont dès lors hors d’atteinte d’autres acteurs ».

En outre, « les outils utilisés par l’attaquant se référaient explicitement à un identifiant unique sur les serveurs cibles (son adresse MAC) ».

Dans leur analyse d’une campagne d’attaques en cours à l’automne, les équipes de la division 42 de Palo Alto Networks ont évoqué « une version personnalisée de la porte dérobée disponible publiquement NGLite » créant notamment un identifiant de cible unique « généré en concaténant l’adresse MAC de l’interface réseau du système et son adresse IPv4 ». Cet identifiant unique est utilisé dans les échanges avec les serveurs de commande et de contrôle.

La division 42 de Palo Alto Networks indiquait alors avoir observé « quelques corrélations entre les tactiques et l’outillage utilisés dans les cas analysés et le groupe TG-3390 », aussi appelé Emissary Panda, ou APT27. De son côté, l’ICRC indique n’avoir aucune certitude quant aux auteurs de l’attaque ou à leurs motivations. Et d’ajouter : « nous ne ferons aucune spéculation à ce propos ».

Selon le Comité international, à ce jour, aucun contact n’a été établi avec les assaillants.