La CISA repère une attaque sur une agence fédérale

[Clement.P]

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a déclaré le 24 septembre qu’une agence fédérale a été la cible d’une attaque qui a permis de dérober de nombreuses données. Pour le moment, ni le nom de l’agence fédérale piratée, ni la date de l’intrusion et autre détail concernant le hacker, n’ont pas été divulgués. Nous ne savons même pas le pseudo du hacker, ni s’il est affilié a un pays en particulier. Le rapport de la CISA explique comment l’intrus a accédé aux réseaux internes de l’agence fédérale par différents canaux, comme l’utilisation d’identifiants compromis pour les comptes Microsoft Office 365, les comptes des administrateurs de domaine, ou encore les identifiants du serveur Pulse Secure VPN. La CISA explique que le hacker a choisi de se connecter aux comptes Office 365 pour visualiser et télécharger des pièces jointes, dans le but d’obtenir des mots de passe et des noms d’utilisateurs.

Afin de pouvoir revenir facilement et rapidement, le ou les hackers ont installé un tunnel SSH ainsi qu’un proxy SOCKS inversé. Ils ont ensuite connecté un disque dur contrôlable à distance. Le hacker a créé son propre compte sur le réseau local pour naviguer librement, exécuter des commandes PowerShell et rassembler des fichiers importants dans des archives ZIP. Pour le moment, la CISA ne peut confirmer si le hacker a téléchargé les archives ZIP, mais c'est sûrement le cas.

Les enquêteurs ont déclaré avoir détecté l’intrusion via EINSTEIN, le système de détection d’intrusion développé par la CISA capable de surveiller les réseaux fédéraux. Sans cette détection, le hacker serait parvenu à rester incognito, puisque son stratagème n’a pas été repéré par les anti malware locaux.