Plusieurs agences du gouvernement fédéral américain ont été touchées par une Cyberattaque mondiale qui a exploité une vulnérabilité dans un logiciel de transfert de fichiers largement utilisé, a confirmé l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans un communiqué jeudi.
Eric Goldstein, directeur adjoint exécutif de l'agence pour la cybersécurité, a déclaré dans un communiqué à CNN : “La CISA apporte son soutien à plusieurs agences fédérales qui ont subi des intrusions. Nous travaillons de toute urgence pour comprendre les impacts et assurer une remédiation rapide.”
La CISA s'efforce de déterminer l'origine de l'attaque et de savoir si des informations sensibles ont été compromises ou si les systèmes gouvernementaux ont été perturbés.
Selon les responsables, les pirates ont exploité une vulnérabilité dans un programme appelé “MOVEit”, un outil d'application de transfert de fichiers électroniques généralement utilisé par les organisations pour transférer des fichiers entre leurs partenaires ou leurs clients.
De nombreux experts pensent que les attaques proviennent du gang CL0P ransomware, qui est connu pour exiger des rançons de plusieurs millions de dollars. La semaine dernière, le FBI et la CISA ont également lancé une alerte signalant que le logiciel de transfert de fichiers était vulnérable aux attaques de ransomware, qui consistent à verrouiller ou à voler des données et à exiger un paiement en retour.
CL0P a revendiqué plusieurs autres cyberattaques par le passé avec l'exploit MOVEIt, dont la BBC, British Airways, Shell et les gouvernements des États du Minnesota et de l'Illinois. Cependant, on ne sait pas si ce sont eux qui sont à l'origine des intrusions auxquelles sont confrontées les agences fédérales.
La directrice de la CISA, Jen Easterly, a déclaré à MSNBC que les autorités ne s'attendaient pas à ce que le piratage ait des répercussions majeures sur les agences concernées. Cependant, elle a refusé d'identifier les agences concernées.
“C'est un logiciel que les agences fédérales et les entreprises du monde entier utilisent. Nous avons publié un avis à ce sujet la semaine dernière. Et nous y répondons”, a ajouté Easterly.
“En ce moment, nous nous concentrons spécifiquement sur les agences fédérales qui pourraient être touchées et nous travaillons main dans la main avec elles pour pouvoir atténuer ce risque. Nous voulons travailler avec nos partenaires pour être sûrs de bien comprendre la situation. Je suis cependant convaincu que, compte tenu de toutes les avancées que nous avons réalisées avec nos partenaires, nous sommes en mesure de réduire ce risque de manière efficace, de sorte que nous ne verrons pas d'impacts significatifs.”
Lorsqu'on lui a demandé si un ransomware russe pouvait être à l'origine de l'attaque, Easterly a répondu : “Nous le suivons comme un groupe criminel” et “beaucoup de ces groupes criminels sont situés dans des endroits comme l'Europe de l'Est.”
Progress Software Corp, qui possède MOVEit et le distribue en tant que “logiciel de transfert de fichiers géré et sécurisé”, a publié des conseils de sécurité et a conseillé à ses clients de mettre à jour leurs progiciels.
Elle suggère fortement aux entreprises qui l'utilisent de “désactiver tout le trafic HTTP et HTTPS vers ton environnement MOVEit Transfer.” En outre, la société a également publié un correctif pour tous ses clients MOVEit Transfer le 9 juin 2023, afin de fermer l'exploit.
“Nous avons communiqué avec les clients sur les mesures qu'ils doivent prendre pour sécuriser davantage leurs environnements et nous avons également mis MOVEit Cloud hors ligne pendant que nous travaillons d'urgence pour corriger le problème”, a déclaré la société dans un communiqué.
