Le Canada et les États-Unis émettent une alerte sur une nouvelle cybermenace
Le Centre canadien pour la cybersécurité a publié un avis conjoint avec le FBI et d’autres agences américaines sur l’augmentation des attaques de logiciels malveillants « Truebot ».
Selon l’alerte du 6 juillet, les pirates utilisent une vulnérabilité dans les logiciels de sécurité pour accéder aux réseaux informatiques d’organisations au Canada et aux États-Unis afin de voler des données sensibles à des fins financières. La société à l’origine du logiciel compromis affirme que plus de 7 000 organisations s’appuient sur ce que l’on appelle Netwrix Auditor, y compris des clients des secteurs de l’assurance, de la finance, de la santé et du droit.
« Un programme de sécurité, pour fonctionner, nécessite des niveaux d’accès élevés, donc s’il est compromis… les attaquants ont gagné », a déclaré Anil Somayaji, professeur agrégé d’informatique à l’Université Carleton à Ottawa, à actualitescanada.com. téléphone jeudi. « C’est le pire type de vulnérabilité dans les logiciels très sensibles qui sont déployés précisément dans les endroits où ils se soucient de la sécurité. »
Netwrix, basé au Texas, exhorte les clients à mettre à niveau le logiciel et à s’assurer que les systèmes qui l’exécutent sont déconnectés d’Internet.
« Cette vulnérabilité peut permettre à un attaquant d’exécuter du code arbitraire sur un système Netwrix Auditor qui est exposé à Internet, contrairement aux meilleures pratiques de déploiement », a déclaré le responsable de la sécurité de Netwrix, Gerrit Lansing, dans un communiqué à actualitescanada.com. « À son tour, un attaquant pourra lancer des attaques par énumération et mener des tentatives d’escalade de privilèges dans un réseau infiltré. Les deux activités – l’énumération et l’escalade de privilèges – sont au cœur de toute cyberattaque. »
Le Netwrix Auditor est commercialisé comme un outil numérique que les organisations peuvent utiliser pour « détecter les menaces de sécurité, prouver la conformité et augmenter l’efficacité de l’équipe informatique ».
« Minimisez les risques informatiques et repérez les menaces de manière proactive », annonce le site Web Netwrix Auditor. « Réduisez le risque pour vos actifs critiques en identifiant les principales lacunes de sécurité de vos données et de votre infrastructure et en exposant les autorisations lâches. »
Somayaji affirme que la nature même du logiciel et de l’attaque, connue sous le nom d’exécution de code à distance, pourrait permettre aux pirates d’accéder à des systèmes informatiques entiers et au type de données sensibles que Netrix Auditor est conçu pour protéger.
« Une fois qu’ils sont infectés, ils ont essentiellement le contrôle de ces systèmes et ensuite ils peuvent… chiffrer toutes vos données afin qu’elles ne puissent désormais être déchiffrées que par l’attaquant », a déclaré Somayaji, dont les intérêts de recherche incluent la sécurité informatique et la détection des intrusions. « C’est l’idée du ransomware : j’ai crypté vos données, si vous voulez les récupérer, vous devez me payer la clé, sinon vous ne pourrez jamais les récupérer. »
Le Centre canadien pour la cybersécurité fait partie du Centre de la sécurité des télécommunications (CST), qui est l’agence canadienne de cybersécurité et de renseignement numérique. Il a publié l’alerte conjointe sur la nouvelle cybermenace aux côtés du Federal Bureau of Investigation (FBI), de la Cybersecurity and Infrastructure Security Agency (CISA) et du Multi-State Information Sharing and Analysis Center (MS-ISAC) aux États-Unis.
« Chaque fois que vous voyez ces choses apparaître, c’est comme la pointe d’un iceberg », a déclaré Somayaji. « Le fait que le Centre canadien pour la cybersécurité, le CISA, le FBI publient tous ce communiqué de presse, cela me fait penser que certains grands joueurs utilisent ce genre de choses. »
Identifiés pour la première fois en 2017, des chercheurs en sécurité privée affirment avoir retracé les logiciels malveillants Truebot jusqu’aux pirates du groupe Silence, prétendument russophone, qui aurait ciblé des institutions financières dans les anciens pays soviétiques et dans le monde entier. Un porte-parole du CSE a déclaré qu’ils n’étaient « pas en mesure de valider ces conclusions ».
« Les versions précédentes du malware Trubot s’appuyaient sur des e-mails de phishing malveillants pour infiltrer les systèmes en incitant les destinataires à cliquer sur un lien hypertexte pour exécuter le malware », a expliqué le porte-parole du CSE. « Plus récemment, les acteurs de la cyber-menace ont ajouté une nouvelle tactique et exploitent une vulnérabilité d’exécution de code à distance – connue sous le nom de CVE-2022-31199 – dans le logiciel Netwrix Auditor pour lancer le malware, éliminant essentiellement le besoin d’erreur humaine qui est nécessaire pour une attaque de phishing pour réussir. »
Le CST au Canada exhorte les opérateurs informatiques concernés à lire son alerte technique et son avis de cybersécurité pour plus d’informations et de solutions.
Somayaji dit que Netwrix n’est pas le premier éditeur de logiciels de sécurité à faire face à une telle violation.
« Si vous regardez dans le passé, de nombreux produits de sécurité se sont avérés présenter des vulnérabilités majeures », a déclaré Somayaji. « Certaines de ces personnes pourraient être simplement des personnes essayant de gagner de l’argent, certaines pourraient être des organisations de renseignement, d’autres pourraient n’être que des individus au hasard qui ont une hache à moudre. »