Les ESN sous la menace d’une cyberattaque de grande ampleur
Les Entreprises de Services Numérique ou ESN sont la cible d’une cyberattaque qui est lancée à grande échelle. La première victime est Wipro. Cette ESN indienne tire sur la sonnette d’alarme face à la gravité de la situation.
Campagne de hameçonnage.
La découverte d’indicateurs de compromission dans le système d’information de Wi pro, une ESN indienne, a été le déclencheur de cette alerte générale qui oblige tous les opérateurs à se mettre urgemment en branle-bas de combat en réaction à cette opération de hameçonnage.
Les analystes sont, en effet, unanimes à reconnaître que toutes les entreprises concurrentes qui opèrent dans le même secteur d’activité que Wipro, un exemple parmi tant d’autres, sont certainement ciblées.
Jusqu’ici réservée et très discrète sur la question, Wipro a fini par révéler, récemment, au grand public la compromission de comptes de ses collaborateurs et partenaires.
Le mécanisme de compromission
Une investigation plus poussée a permis de connaître plusieurs indicateurs du piratage. Cela concerne plusieurs noms de domaine et des adresses IP. L’enquête a fait ressortir également l’implication de condensats de composants logiciels.
La compromission se manifeste de manière claire et sans équivoque : certains noms de domaine suspects renvoient sur des adresses IP utilisées par d’autres noms de domaine également.
Il faut citer, à titre d’exemple, l’existence de sous-domaines liés à l’adresse IP 185[.]159[.]83[.]24, trouvée à partir du nom de domaine internal-message [.]app. L’anormalité commence à ce niveau avec le microsoftonline-Secure-login[.]Com, et l’existence de quelques sous-domaines qui font référence à de notoires fournisseurs de l’IT : Avanade, Rackspace, PCM, Capgemini, Infosys, Expedia. Il faut citer aussi Green Dot, Elavon ou encore First Data acteurs connus dans le secteur financier.
L’investigation a également permis de découvrir d’autres adresses IP aussi suspectes qu’étonnantes comme 185[.]159[.]83[.]21. Le domaine encrypted-message.cloud se retrouve dans cette adresse IP qui implique, en outre, des sous-domaines liés avec Wipro, Capgemini et Costco.
Il y a deux années de cela, un incident s’était produit avec ConnectWise Control, ex ScreenConnect, classé aussi parmi les indicateurs de compromis. Plusieurs utilisateurs d’infogérance par le rançongiciel GanCrab, adeptes de la prise en main à distance, ont été victimes de compromission. Ils ont intégré une extension vulnérable de ConnectWise avec les outils de Kaseya. Pour le moment, le lien avec la cyberattaque contre les ESN n’est pas établi.
La cyber attaque a commencé récemment
La cyberattaque et l’hameçonnage auraient commencé à partir du mois de février. La chronologie est liée à la création des domaines classés parmi les indicateurs de compromis :
Mi-février : internal-message [.]app
20 mars : encrypted-message [.]Cloud
22 mars : wipro365 [.]Com
Fin mars :xsecuremail[.]com.
Les analystes ont répertorié d’autres domaines suspects, mais plus anciens. Ils ont été créés en mai 2018. Il s’agit de securemail[.]online, d’encrypt-email[.]Online, de Secure-message [.]online et de microsoftonline-secure-login [.]Com. Securemail[.]online a produit des sous-domaines à l’origine de nombreux hameçonnages perpétrés auparavant. Parmi les faits d’armes des hackers, le ciblage des écosystèmes de Gamestop, de la gestion des ressources humaines d’OC Tanner, le réseau du système de vente d’Expedia et d’InComm, des services de paiement électronique d’Euronet Worldwide. Encrypt-email[.]online a produit mcafeeonlinescanner [.]com, qui a servi aux hackers pour hameçonner des internautes de l’environnement d’InComm.
La menace est découverte et portée au grand jour. Les ESN ont intérêt à réagir rapidement explique LemagIt, car il y a péril en la demeure.