La récente cyberattaque contre le Comité international de la Croix-Rouge (CICR), qui a compromis les données de plus de 515 000 personnes « très vulnérables », était probablement l’œuvre de pirates informatiques parrainés par l’État.
Dans une mise à jour publiée mercredi, le CICR a confirmé que l’intrusion initiale remontait au 9 novembre 2021, deux mois avant que l’attaque ne soit révélée le 18 janvier, ajoutant que son analyse montre que l’intrusion était une attaque ciblée « très sophistiquée ». sur ses systèmes – et non une attaque sur les systèmes de sous-traitants tiers comme l’a d’abord dit le CICR.
Le CICR a déclaré qu’il savait que l’attaque était ciblée « parce que les attaquants ont créé du code conçu uniquement pour être exécuté sur les serveurs du CICR concernés ». Selon la mise à jour, le malware utilisé par l’attaquant a été conçu pour cibler des serveurs spécifiques au sein de l’infrastructure du CICR.
Les pirates ont eu accès au réseau du CICR en exploitant une vulnérabilité critique connue mais non corrigée dans un outil d’authentification unique développé par Zoho, qui propose des services de bureau basés sur le Web. La vulnérabilité a fait l’objet d’un avis de la US Cybersecurity and Infrastructure Security Agency (CISA) en septembre, qui a reçu un score de gravité CVSS de 9,8 sur 10.
En exploitant cette faille, les pirates anonymes parrainés par l’État ont ensuite placé des shells Web et effectué des activités de post-exploitation, comme compromettre les informations d’identification de l’administrateur, se déplacer sur le réseau et exfiltrer les fichiers de registre et de domaine, selon le CICR.
« Une fois à l’intérieur de notre réseau, les pirates ont pu déployer des outils de sécurité offensifs qui leur ont permis de se déguiser en utilisateurs ou administrateurs légitimes. Cela leur a permis d’accéder aux données, bien que ces données soient cryptées », a déclaré le CICR. La Croix-Rouge a ajouté qu’elle n’avait aucune preuve concluante que les données volées lors de l’attaque aient été publiées ou soient échangées, ni qu’une demande de rançon n’ait été faite, mais a déclaré qu’elle contactait ceux dont les informations sensibles auraient pu être consultées.
Le CICR affirme que ses outils anti-malware sur les serveurs ciblés étaient actifs au moment de l’attaque et ont bloqué certains des fichiers malveillants utilisés par les attaquants, mais que la plupart des fichiers déployés ont été « spécialement conçus pour contourner » son anti-malware protections.
Ces outils, note le CICR, sont généralement utilisés par des groupes de menaces persistantes avancées (APT) ou des attaquants soutenus par l’État, mais la Croix-Rouge a déclaré qu’elle n’avait pas encore officiellement attribué l’attaque à une organisation en particulier. Un rapport de Palo Alto Networks de novembre 2021 a lié l’exploitation de la même vulnérabilité à un groupe parrainé par l’État chinois, connu sous le nom d’APT27.
À la suite de la cyberattaque, la Croix-Rouge a déclaré qu’elle avait dû recourir à des feuilles de calcul pour mener à bien son travail vital, qui comprend la réunion des membres de la famille séparés par un conflit ou une catastrophe.
« Nous espérons que cette attaque contre les données des personnes vulnérables servira de catalyseur pour le changement », a déclaré Robert Mardini, directeur général du CICR, dans un communiqué. « Nous allons maintenant renforcer notre engagement avec les acteurs étatiques et non étatiques pour exiger explicitement que la protection de la mission humanitaire du Mouvement de la Croix-Rouge et du Croissant-Rouge s’étende à nos actifs et infrastructures de données.
« Nous pensons qu’il est essentiel d’avoir un consensus ferme – en paroles et en actions – sur le fait que les données humanitaires ne doivent jamais être attaquées. »