Un acteur de menace inconnu est assis dans les systèmes de GoDaddy depuis des années, installant des logiciels malveillants, volant le code source et attaquant les clients de l’entreprise, a confirmé le géant de l’hébergement Web dans un dossier auprès de la SEC à la fin de la semaine dernière.
Par le dépôt (s’ouvre dans un nouvel onglet) (via BleepingComputer (s’ouvre dans un nouvel onglet)), les attaquants ont piraté l’environnement d’hébergement partagé cPanel de GoDaddy et l’ont utilisé comme rampe de lancement pour de nouvelles attaques. La société a décrit les pirates comme un « groupe d’acteurs menaçants sophistiqués ».
Le groupe a finalement été repéré lorsque les clients ont commencé à signaler, fin 2022, que le trafic arrivant sur leurs sites Web était redirigé ailleurs.
Liens vers les incidents précédents
Maintenant, GoDaddy pense que les violations de données signalées en mars 2020 et novembre 2021 étaient toutes liées.
« Sur la base de notre enquête », écrit-il dans le dossier, « nous pensons que ces incidents font partie d’une campagne pluriannuelle menée par un groupe sophistiqué d’acteurs malveillants qui, entre autres, a installé des logiciels malveillants sur nos systèmes et obtenu des morceaux de code liés à certains services au sein de GoDaddy, »
Lors de l’incident de novembre 2021, les données des utilisateurs de quelque 1,2 million de ses clients ont été consultées par les attaquants. Cela incluait à la fois les utilisateurs actifs et inactifs, les adresses e-mail et les numéros de clients étant exposés.
La société a également déclaré que le mot de passe d’origine de l’administrateur WordPress, créé une fois qu’une nouvelle installation de WordPress est terminée, a également été exposé, permettant aux attaquants d’accéder à ces installations.
GoDaddy a également révélé que les clients actifs avaient leurs informations d’identification sFTP et les noms d’utilisateur et mots de passe pour leurs bases de données WordPress, qui sont utilisées pour stocker tout leur contenu, exposés dans la violation.
Cependant, dans certains cas, les clés privées SSL du client ont été exposées et, en cas d’abus, cette clé pourrait permettre à un attaquant d’usurper l’identité du site Web ou d’autres services d’un client.
Bien que GoDaddy ait réinitialisé les mots de passe et les clés privées WordPress des clients, il est actuellement en train de leur délivrer de nouveaux certificats SSL.
Dans un rapport (s’ouvre dans un nouvel onglet) publié en février 2023, le géant de l’hébergement Web affirme avoir employé une équipe externe de criminalistique de la cybersécurité et fait appel à des forces de l’ordre du monde entier pour enquêter plus avant sur l’affaire.
Il est également clair, maintenant, que les attaques contre GoDaddy faisaient partie d’une campagne plus large contre les sociétés d’hébergement Web du monde entier.
« Nous avons des preuves, et les forces de l’ordre ont confirmé, que cet incident a été commis par un groupe sophistiqué et organisé ciblant des services d’hébergement comme GoDaddy »,
« Selon les informations que nous avons reçues, leur objectif apparent est d’infecter des sites Web et des serveurs avec des logiciels malveillants pour des campagnes de phishing, la distribution de logiciels malveillants et d’autres activités malveillantes. »