JumpCloud, un service de gestion informatique basé sur le cloud qui répertorie Cars.com, GoFundMe et Foursquare parmi ses 5 000 clients payants, a subi une faille de sécurité commise par des pirates informatiques travaillant pour un État-nation, a déclaré la société la semaine dernière.
L’attaque a commencé le 22 juin sous la forme d’une campagne de harponnage, a révélé la société mercredi dernier. Dans le cadre de cet incident, a déclaré JumpCloud, « l’acteur sophistiqué de la menace parrainé par l’État-nation » a eu accès à une partie non spécifiée du réseau interne de JumpCloud. Bien que les enquêteurs de l’époque n’aient trouvé aucune preuve que des clients aient été affectés, la société a déclaré qu’elle avait effectué une rotation des identifiants de compte, reconstruit ses systèmes et pris d’autres mesures défensives.
Le 5 juillet, les enquêteurs ont découvert que la violation impliquait « une activité inhabituelle dans le cadre des commandes pour un petit groupe de clients ». En réponse, l’équipe de sécurité de l’entreprise a effectué une rotation forcée de toutes les clés d’API d’administration et a informé les clients concernés.
Alors que les enquêteurs poursuivaient leur analyse, ils ont découvert que la violation impliquait également une « injection de données dans le cadre de commandes », que la divulgation décrit comme le « vecteur d’attaque ». La divulgation n’expliquait pas le lien entre l’injection de données et l’accès obtenu par l’attaque de harponnage du 22 juin. Ars a demandé des détails à JumpCloud PR, et les employés ont répondu en envoyant le même message de divulgation qui omet ces détails.
Les enquêteurs ont également découvert que l’attaque était extrêmement ciblée et limitée à des clients spécifiques, que l’entreprise n’a pas nommés.
JumpCloud indique sur son site Web qu’il dispose d’une base d’utilisateurs mondiale de plus de 200 000 organisations, avec plus de 5 000 clients payants. Ils incluent Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance et Foursquare. JumpCloud a levé plus de 400 millions de dollars auprès d’investisseurs, dont Sapphire Ventures, General Atlantic, Sands Capital, Atlassian et CrowdStrike.
Dans la divulgation de la semaine dernière, le responsable de la sécurité de l’information de JumpCloud, Bob Phan, a écrit :
Le 27 juin à 15h13 UTC, nous avons découvert une activité anormale sur un système d’orchestration interne que nous avons retracée jusqu’à une campagne de harponnage sophistiquée perpétrée par l’auteur de la menace le 22 juin. Cette activité comprenait un accès non autorisé à une zone spécifique de notre infrastructure. Nous n’avons pas vu de preuve d’impact sur les clients à ce moment-là. Par prudence, nous avons effectué une rotation des informations d’identification, reconstruit l’infrastructure et pris un certain nombre d’autres mesures pour sécuriser davantage notre réseau et notre périmètre. De plus, nous avons activé notre plan de réponse aux incidents préparé et travaillé avec notre partenaire de réponse aux incidents (IR) pour analyser tous les systèmes et journaux pour une activité potentielle. C’est également à ce moment-là, dans le cadre de notre plan de RI, que nous avons contacté et engagé les forces de l’ordre dans notre enquête.
JumpCloud Security Operations, en collaboration avec nos partenaires IR et les forces de l’ordre, a poursuivi l’enquête médico-légale. Le 5 juillet à 03h35 UTC, nous avons découvert une activité inhabituelle dans le cadre des commandes pour un petit groupe de clients. À ce moment-là, nous avions des preuves de l’impact sur les clients et avons commencé à travailler en étroite collaboration avec les clients concernés pour les aider avec des mesures de sécurité supplémentaires. Nous avons également décidé d’effectuer une rotation forcée de toutes les clés d’API d’administration à partir du 5 juillet à 23h11 UTC. Nous avons immédiatement informé les clients de cette action.
Une analyse continue a révélé le vecteur d’attaque : l’injection de données dans notre cadre de commandes. L’analyse a également confirmé les soupçons selon lesquels l’attaque était extrêmement ciblée et limitée à des clients spécifiques. Ce que nous avons appris nous a permis de créer et maintenant de partager une liste d’IOC (indicateurs de compromis) que nous avons observés pour cette campagne.
Ce sont des adversaires sophistiqués et persistants dotés de capacités avancées. Notre ligne de défense la plus solide passe par le partage d’informations et la collaboration. C’est pourquoi il était important pour nous de partager les détails de cet incident et d’aider nos partenaires à sécuriser leurs propres environnements contre cette menace. Nous continuerons d’améliorer nos propres mesures de sécurité pour protéger nos clients contre les menaces futures et travaillerons en étroite collaboration avec nos partenaires gouvernementaux et industriels pour partager les informations liées à cette menace.
La société a également publié une liste d’adresses IP, de noms de domaine et de hachages cryptographiques utilisés par l’attaquant que d’autres organisations peuvent utiliser pour indiquer si elles ont été ciblées par les mêmes attaquants. JumpCloud n’a pas encore nommé le pays d’origine ou d’autres détails sur le groupe de menaces responsable.