La récente cyberattaque contre le Comité international de la Croix-Rouge (CICR) n’était pas une attaque de la chaîne d’approvisionnement, comme on le pensait initialement. Au lieu de cela, il est venu à la suite d’une vulnérabilité de gravité élevée non corrigée abusée.
La nouvelle a été confirmée par le CICR, qui a déclaré dans un article de blog mis à jour que les attaquants étaient, très probablement, parrainés par l’État, mais n’ont pointé du doigt aucune menace persistante avancée (APT) en particulier.
toutefois Tech Crunch Des chercheurs de Palo Alto Networks ont découvert que les Chinois abusaient de la même vulnérabilité ailleurs.
Vol de données
Les chercheurs ont découvert que celui qui était à l’origine de l’attaque ne visait pas un sous-traitant du CICR, mais exploitait à la place une vulnérabilité critique non corrigée dans un module d’authentification, une faille identifiée comme CVE-2021-40539.
La faille a permis aux attaquants de placer des shells Web et de mener des actions post-exploitation telles que compromettre les informations d’identification de l’administrateur, se déplacer latéralement sur le réseau et exfiltrer les données des terminaux.
« Une fois à l’intérieur de notre réseau, les pirates ont pu déployer des outils de sécurité offensifs qui leur ont permis de se déguiser en utilisateurs ou administrateurs légitimes. Cela, à son tour, leur a permis d’accéder aux données, bien que ces données soient cryptées », lit-on sur le blog du CICR.
Le CICR a également déclaré que l’attaque n’était pas accidentelle ou que les attaquants les avaient choisis simplement en raison de la vulnérabilité non corrigée. Au lieu de cela, le CICR a été spécifiquement ciblé « parce que les attaquants ont créé du code conçu uniquement pour être exécuté sur les serveurs du CICR concernés ».
Le logiciel malveillant créé pour cette attaque a été conçu sur mesure pour l’infrastructure du CICR et son logiciel antivirus.
Le CICR a également pu déterminer avec plus de précision le moment exact de l’attaque. Initialement, l’organisation pensait que l’attaque avait eu lieu en janvier, mais elle pense maintenant que fin novembre est une estimation plus précise.
Au total, les données sur plus de 515 000 personnes « très vulnérables » ont été prises.
Jusqu’à présent, indique le rapport, rien n’indique que les données soient partagées ou vendues, où que ce soit, et le CICR n’a reçu aucune demande de rançon.
« Nous espérons que cette attaque contre les données des personnes vulnérables servira de catalyseur pour le changement », a déclaré Robert Mardini, directeur général du CICR, dans un communiqué. « Nous allons maintenant renforcer notre engagement avec les acteurs étatiques et non étatiques pour exiger explicitement que la protection de la mission humanitaire du Mouvement de la Croix-Rouge et du Croissant-Rouge s’étende à nos actifs et infrastructures de données.
« Nous pensons qu’il est essentiel d’avoir un consensus ferme – en paroles et en actions – sur le fait que les données humanitaires ne doivent jamais être attaquées. »
Via : TechCrunch