Le gouvernement américain a confirmé que plusieurs agences fédérales ont été victimes de cyberattaques exploitant une vulnérabilité de sécurité dans un outil de transfert de fichiers populaire.
Dans un communiqué partagé avec TechCrunch, la CISA a confirmé que « plusieurs » agences gouvernementales américaines ont subi des intrusions liées à l’exploitation d’une vulnérabilité dans MOVEit Transfer, un outil de transfert de fichiers d’entreprise développé par Progress Software. L’agence a également attribué les attaques au gang de rançongiciels Clop lié à la Russie, qui a commencé cette semaine à publier les noms d’organisations qu’il prétend avoir piratées en exploitant la faille MOVEit.
La CISA n’a pas précisé combien d’agences ont été touchées par les attaques, ce que CNN a signalé pour la première fois, et n’a pas nommé les agences touchées. Cependant, le ministère de l’Énergie a confirmé à TechCrunch que deux de ses entités figuraient parmi les personnes violées.
« Après avoir appris que les enregistrements de deux entités du DOE avaient été compromis lors de la cyberattaque mondiale contre le logiciel de partage de fichiers MOVEit Transfer, le DOE a pris des mesures immédiates pour empêcher une nouvelle exposition à la vulnérabilité et a notifié la Cybersecurity and Infrastructure Security Agency (CISA) », un DoE a déclaré le porte-parole. « Le Département a informé le Congrès et travaille avec les forces de l’ordre, la CISA et les entités concernées pour enquêter sur l’incident et atténuer les impacts de la violation. »
Selon le Federal News Network, les universités associées d’Oak Ridge et une usine pilote d’isolement des déchets située au Nouveau-Mexique étaient les deux entités du DOE touchées par la vulnérabilité, exposant « les informations personnellement identifiables de potentiellement des dizaines de milliers de personnes, y compris des employés et des sous-traitants de l’énergie ». .”
Une douzaine d’autres agences américaines ont des contrats MOVEit actifs, selon le Federal Data Procurement System. Cela comprend le département de l’armée, le département de l’armée de l’air et la Food and Drug Administration.
Lors d’une conférence de presse jeudi sur la vulnérabilité de MOVEit, la directrice de la CISA, Jen Easterly, a déclaré que l’agence de cybersécurité travaille avec les agences concernées « de toute urgence pour comprendre les impacts et assurer une correction rapide ». Bien que l’on ne sache pas encore si des données ont été volées, Easterly a ajouté que les intrusions ne sont pas exploitées pour « voler des informations spécifiques de grande valeur » ou pour gagner en persistance dans des systèmes ciblés.
« En somme, comme nous le comprenons, cette attaque est en grande partie opportuniste », a déclaré Easterly. « De plus, nous n’avons pas connaissance d’acteurs de Clop menaçant d’extorquer ou de divulguer des données volées à des agences gouvernementales américaines. »
Dans une nouvelle mise à jour publiée sur son site Web sombre, Clop a affirmé que les données gouvernementales avaient été effacées et qu’aucune agence gouvernementale n’avait encore été répertoriée comme victime.
Cependant, Clop a ajouté un autre lot de victimes qu’il prétend avoir compromises via la vulnérabilité MOVEit, notamment la East Western Bank basée à Boston Globe, en Californie, la société de biotechnologie new-yorkaise Enzo Biochem et la société d’intelligence artificielle Nuance, propriété de Microsoft.
Lynn Granito, porte-parole de l’agence représentant Enzo, a déclaré à TechCrunch que la société ne ferait aucun commentaire. Aucune des autres sociétés nouvellement cotées n’a répondu aux questions de TechCrunch.
Le groupe de rançongiciels lié à la Russie a publié le premier lot d’organisations concernées – une liste qui comprend les organisations de services financiers basées aux États-Unis 1st Source et First National Bankers Bank et le géant britannique de l’énergie Shell – juste un jour plus tôt.
Alors que de nouvelles victimes continuent d’être découvertes, Progress Software s’est empressé de corriger une nouvelle vulnérabilité affectant MOVEit Transfer. Cette vulnérabilité, identifiée comme CVE-2023-35708, pourrait conduire à un accès non autorisé aux environnements des clients, a averti Progress dans son avis.