L’Australie est victime d’une vaste cyberattaque étatique
Un acteur étatique a intensifié ses cyberattaques contre le gouvernement australien et les infrastructures critiques, a révélé le Premier ministre Scott Morrison. L’attaque repose sur l’utilisation intensive de code d’exploitation, de web shells et d’autres outils copiés presque à l'identique à partir de sources disponibles.
Le gouvernement et les institutions australiennes sont la cible de cyberattaques sophistiquée qui ont cours en ce moment, a annoncé le Premier ministre Scott Morrison ce vendredi. «Cette activité n'est pas nouvelle, mais la fréquence a augmenté depuis plusieurs mois», a-t-il souligné.
Selon le Premier ministre, qui n’a pas cité de cas précis, ces attaques visent les organisations australiennes dans toute une série de secteurs, y compris tous les niveaux du gouvernement, l'industrie, les organisations politiques, l'éducation, la santé, les fournisseurs de services essentiels et les opérateurs d'autres infrastructures critiques. Cependant, aucune perturbation ou destruction n’ont été constatées de la part de l’assaillant, qui s’est contenté d’infiltrer les réseaux. En outre, aucune donnée n’a été subtilisée, indique le Premier ministre.
Pour l’Australian Cyber Security Centre (ACSC), équivalent de MELANI en Suisse, l'ampleur et la nature du ciblage ainsi que les techniques utilisées indiquent qu’il s’agit d’un «cyberacteur sophistiqué étatique». Lorsque des journalistes ont demandé à Scott Morrison d'identifier un pays lors de la conférence de presse de ce vendredi, le Premier ministre a préféré ne pas donner de nom, se contentant de confirmer que «peu d’acteurs étatiques peuvent s’engager dans des attaques de cette ampleur».
Une attaque complexe et variée
L’ACSC explique que l’attaque repose sur l’utilisation intensive d'exploit, de web shells et d’autres outils copiés à partir de sources disponibles («Copy-paste compromises»). Les auteurs s'en prendraient notamment aux infrastructures publiques en exploitant la vulnérabilité d'exécution de code à distance dans des versions non corrigées de Telerik UI. Les pirates profiteraient également de vulnérabilités dans Microsoft Internet Information Services (IIS), dans SharePoint 2019 et dans Citrix 2019.
Lorsque leurs attaques échouent, les assaillants utilisent diverses techniques de harponnage: liens vers des sites web d'extraction d'informations d’identification, emails contenant des fichiers malveillants ou encore incitation à accorder des tokens Office 365 OAuth. Une fois qu'ils se sont introduits dans les réseaux victimes, les auteurs utilisent un mélange d’outils open source et d’outils personnalisés pour s’y maintenir et interagir avec eux.
L’ACSC a aussi que constaté que les pirates utilisent des sites web australiens légitimes, mais compromis à l’aide d’identifiants volés, en tant que serveurs de commande et de contrôle.
