Plusieurs agences du gouvernement fédéral aux États-Unis, dont le ministère de l'Énergie, ont été visées dans une campagne mondiale de cyberattaque exploitant une vulnérabilité dans le logiciel largement utilisé MOVEit Transfer. L'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) apporte son soutien aux agences ciblées.
Eric Goldstein, directeur exécutif adjoint de la CISA, a déclaré jeudi dans un communiqué : « Nous travaillons de toute urgence pour comprendre les impacts et assurer une correction en temps opportun. »
Outre les agences du gouvernement fédéral, « plusieurs centaines » d'entreprises et d'organisations aux États-Unis pourraient être touchées par le piratage.
« Clop » est le prétendu gang de rançongiciels responsable du piratage. Le groupe est connu pour exiger des rançons de plusieurs millions de dollars. Cependant, aucune demande de rançon n'a été faite aux agences fédérales.
Bien que la CISA n'ait confirmé aucune agence ciblée, CNN, qui a signalé l'attaque pour la première fois, rapporte que le ministère américain de l'Énergie faisait partie des agences fédérales violées, et le département a informé le Congrès et « travaille avec les forces de l'ordre, la CISA et les entités concernées pour enquêter sur l'incident et atténuer les impacts de la violation ».
La directrice de la CISA, Jen Easterly, a déclaré aux journalistes que les piratages n'avaient aucun « impact significatif » sur les agences fédérales civiles.
Au cours des derniers jours, une campagne de piratage massive a eu lieu aux États-Unis, affectant les principales universités et institutions gouvernementales.
Les pirates informatiques font pression sur les responsables fédéraux qui se sont engagés à mettre fin au fléau des attaques de ransomwares qui ont perturbé les écoles, les hôpitaux et les gouvernements locaux à travers les États.
Depuis fin mai, des pirates exploitent une faille de MOVEit que les entreprises et les agences utilisent pour transférer des données.
Progress Software, le développeur américain du logiciel, a déclaré avoir découvert une nouvelle vulnérabilité dans le logiciel qui « pourrait être exploitée par un mauvais acteur ».
« Nous avons communiqué avec les clients sur les mesures qu'ils doivent prendre pour sécuriser davantage leurs environnements et nous avons également mis MOVEit Cloud hors ligne alors que nous travaillons de toute urgence pour résoudre le problème », a déclaré la société dans un communiqué.
La Transportation Security Administration et le Département d'État affirment qu'ils n'ont pas été victimes du piratage.
MOVEit Transfer est un outil populaire utilisé par les organisations pour partager des informations sensibles avec des partenaires ou des clients. John Hammond, chercheur en sécurité chez Huntress, a déclaré qu'il pourrait être utilisé par les clients d'une banque, par exemple, pour télécharger leurs informations financières pour les demandes de prêt.
« Il y a beaucoup de potentiel pour ce qu'un adversaire pourrait être en mesure d'entrer », a-t-il déclaré plus tôt ce mois-ci.
Mercredi, le gang Clop a commencé à extorquer les organisations touchées par les attaques de vol de données MOVEit en listant leurs noms sur son site de fuites de données du dark web.
Cinq des entreprises listées – la multinationale pétrolière et gazière britannique Shell, l’Université de Géorgie (UGA) et le système universitaire de Géorgie (USG), UnitedHealthcare Student Resources (UHSR), Heidelberger Druck, et Landal Greenparks – ont depuis confirmé à BleepingComputer qu’elles avaient été touchées par les attaques.
D’autres organisations ont déjà révélé des violations de MOVEit Transfer, notamment Zellis (et ses clients BBC, Boots, Aer Lingus et le HSE irlandais), Ofcam, le gouvernement de Nouvelle-Écosse, l’État américain du Missouri, l’État américain de l’Illinois, l’Université de Rochester, l’American Board of Internal Medicine, BORN Ontario et Extreme Networks.
Aujourd’hui, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a également révélé que plusieurs agences fédérales américaines avaient été victimes d’une intrusion, selon un rapport de CNN. Deux entités du ministère américain de l’énergie (DOE) ont également été compromises, selon Federal News Network.
