Un responsable de l’ALMA nous donne de plus amples informations sur la cyberattaque dont le radiotélescope a été victime en octobre dernier. Il s’agit du rançongiciel Hive : « Heureusement, les équipes d’informaticiens ont été suffisamment rapides et préparées pour qu’on ne soit pas obligé de payer ».
Il y a quelques jours, nous étions revenus sur la cyberattaque du radiotélescope géant ALMA (Atacama Large Millimeter/submillimeter Array) de début octobre, entrainant une paralysie de 48 jours des observations scientifiques. Sans entrer dans tous les détails, rappelons seulement que, encore aujourd’hui, la situation n’est pas totalement revenue à la normale.
Il y avait de nombreuses zones de flou autour de cette cyberattaque. Afin d’avoir de plus amples informations, nous avions contacté l'Observatoire européen austral (ESO) et ALMA. Nicolás Lira Turpaud (Education & Public Outreach Coordinator pour l’observatoire de l’ALMA) nous a donné des précisions, notamment qu’il s’agit d’un rançongiciel bien connu qui a déjà largement fait parler de lui ces derniers mois.
Une demande de rançon qu’ALMA n’a pas payée
« Il s'agit d'une attaque ransomware […] Le motif de l'attaque est économique » avec une demande de rançon, nous explique-t-il. « Heureusement, les équipes d’informaticiens ont été suffisamment rapides et préparées pour qu’on ne soit pas obligé de payer ».
La cyberattaque a pour rappel été détectée dans la matinée du 29 octobre, « suffisamment vite pour éviter que les données et l’infrastructure scientifiques soient compromises. Malheureusement, les systèmes de communication ont été compromis, voire endommagés ».
Ces dégâts entrainent de fâcheuses conséquences : « Ceci nous a obligés à isoler tous les systèmes de manière préventive, reconstruire les réseaux et vérifier chaque système informatique, y compris ordinateurs et dispositifs de travail personnel ». Un travail de longue haleine.
Alors que revoilà Hive
Concernant l’identité des attaquants, Nicolás Lira Turpaud nous indique ne pas la connaitre, mais ajoute que « l'Agence de Cybersécurité Américaine [CISA ou Cybersecurity and Infrastructure Security Agency, ndlr] a émis une alerte à propos de ce même type d'attaques le 17 novembre », soit presque trois semaines après l'attaque dont a été victime le radiotélescope géant du Chili.
Cette alerte concernait « Hive Ransomware », un Rançongiciel as a Service (RaaS), c’est-a-dire proposé par des pirates à d’autres pirates via un système d’affiliation, qui a déjà fait beaucoup de dégâts. « En novembre 2022, les acteurs du ransomware Hive avaient attaqué plus de 1 300 entreprises dans le monde, recevant environ 100 millions de dollars américains en paiements de rançon, selon les informations du FBI », explique le CISA.
La Cybersecurity and Infrastructure Security Agency rappelle au passage que « les acteurs de Hive sont connus pour réinfecter – avec le ransomware Hive ou un autre – les réseaux de leurs victimes qui ont restauré leur réseau sans payer de rançon »… Ce n’est donc peut-être que le début d’une série d’attaques pour ALMA. Le CISA donne enfin une liste d’indicateurs de compromission.
Pour le reste, une enquête est en cours
Notre interlocuteur nous indique par contre ne pas pouvoir en dire davantage pour le moment, car « une enquête des autorités chiliennes est en cours ». Dont acte.
Enfin, comme nous l’avions déjà indiqué dans notre précédent article, « d'autres services et systèmes moins prioritaires mettront encore plusieurs semaines à être de nouveau actifs ». À l’heure actuelle, le site web n’est toujours pas revenu et la version provisoire est toujours en ligne.
Commentaires (21)
#1
Quel est le vecteur d’attaque de Hive ?
#1.1
Iintrusion sur le réseau via PJ vérolées ou exécutables daubés apparemment.
https://www.bleepingcomputer.com/news/security/fbi-shares-technical-details-for-hive-ransomware/
#2
Dans l’avant dernier paragraphe, c’est dans le cas ou la victime restaure ses données sans avoir pris de précaution, en clair en laissant la brèche ouverte ? Ou alors c’est dissimulé depuis un moment et cela se réactive lorsque les données sont restaurées ?
et du coup, même question que Tirnon ;-)
#3
C’est donc bien de l’attaque de postes sous Windows.
. À l’époque où on avait pas mal d’Unix dans la recherche (des Sun en particulier), ça ne serait pas arrivé. Idem là s’ils avaient une majorité de Linux.
Décevant qu’un observatoire ait de tels postes pour contrôler des choses importantes
#3.1
Euh non car les ransomwares ciblent aussi les systèmes basés Linux. Hive sait les attaquer depuis deux ans tout comme les BSD. Et les attaques de malwares vers les systèmes basés Linux sont en plein essor… La rançon (haha) du succès d’être la base de quasi toutes les infra de nos jours.
Aucun système n’est résiliant face à ce genre de chose, surtout si le vecteur d’attaque est l’utilisateur ou une faille de celui-ci. Et les distribs Linux sont tout autant trouées que n’importe quel autre système d’exploitation.
Donc si, ça aurait très bien pu arriver.
#3.2
Je n’ai encore jamais entendu de cas de sociétés victimes de ce genre de trucs (ransomware et autres merdes) avec du Linux. C’est toujours du Windows qui est attaqué.
Donc pour Linux je sais qu’on peut concevoir des vecteurs d’attaques, mais clairement c’est plus balaise. C’est déjà pas possible via des pièces jointes, comme sous Windows.
J’ai la boîte d’un pote qui n’a aucun Windows, il est assez tranquille.
#3.3
Jusqu’au jour où…
Le vecteur des systèmes basés Linux est différent : c’est les failles de toute la couche logiciel qui est ciblée. Log4shell c’était quoi à ton avis ?
Mode opératoire qu’on peut souvent trouver :
Je le redis : aucun système n’est protégé by design.
#3.4
Je sais tout ça, mais je maintiens. Concernant la boîte de mon pote sous Linux, on peut faire les paris qu’il n’aura jamais aucun ransomware.
Mon PC perso est en ligne 24⁄24 avec du SSH (et du fail2ban).
#3.5
Ya pas pire posture de sécurité que croire qu’on ne sera jamais attaqué. J’espère que la boîte de ton ami ne traite pas de données personnelles et qu’il a une vision beaucoup plus responsable.
Perso je préfère avoir une bonne politique de DRP que de croire l’infrastructure invulnérable parce que Machin.
#3.6
Je ne sais pas s’il pense qu’il ne sera jamais attaqué, en tous cas il ne mettrait jamais de Windows dans sa boîte.
Le mec c’est un super geek de toutes façons, j’ai rarement rencontré des types de ce niveau en informatique (et j’en ai vu quelques-uns de très bons).
#3.7
Que ce soit du Windows, du Linux, du Mac, de l’AS400, ou que sais-je encore, il faut juste considérer qu’aucun n’est infaillible et ne surtout pas adopter la posture dogmatique des imbéciles. Aussi compétente soit la personne qui gère la plateforme. Surtout que non seulement tu as le risque technique (se prendre un malware et devoir y faire face, s’assurer que son DRP est fonctionnel, etc), mais aussi le risque légal vu que le RGPD oblige à mettre en oeuvre le nécessaire pour garantir l’intégrité et la sécurité des données personnelles traitées. Perso à un moment je voulais me lancer dans de l’hébergement Nextcloud et c’est ce qui m’a freiné. Ca ne s’improvise pas et ça ne se fait pas en “à côté” sur son temps libre.
Comme je l’indiquais sur l’autre article sur la sécurité, c’est la totalité de la chaîne de production qui est ciblée et peut être un vecteur d’attaques de nos jours. Une lib corrompue dans une des couches logicielles et c’est la cata.
Si j’ai repris ton commentaire, c’est à cause de ceci :
Ce genre de propos, pour moi, c’est de la désinformation. Déjà, “Linux”, ça ne veut rien dire : c’est pas un OS pour rappel. Donc ça va dépendre de quelle distribution est utilisée (les projets sont pas forcément tous aussi réactifs), ça va dépendre des versions de tous les composants installés dessus, ça va dépendre du hardening du système, ça va dépendre des middlewares nécessaires, ça va dépendre des dépendances que l’application a besoin pour fonctionner, ça va dépendre des failles de l’application elle-même, etc.
Il faut arrêter avec ce dogme éculé et faux depuis les origines disant que “Linux c’est plus sécurisé”. Le design d’un Unix-like fait que nativement il y a des barrières empêchant un utilisateur normal d’impacter le système, mais ça s’effondre rapidement à la moindre faille (peu importe son origine). Il suffit de voir la palanquée de malwares présents sur Android pour constater que cette croyance est bidon.
#4
j’ai bien ri
#4.1
Il n’y a rien de contradictoire : les deux choses n’ont rien à voir.
Ils sont intervenus suffisamment rapidement pour isoler tous les postes présents sur le réseau et limiter ainsi la propagation et la portée de l’attaque (chiffrage local des fichiers, upload, …). Les minutes sont précieuses dans ces instants.
Ensuite, comme expliqué dans l’article, tester méticuleusement chaque PC, chaque clé USB, et (et peut être même aussi chaque smartphone relié au LAN) en offline pour vérifier si le rançongiciel n’est pas à l’état dormant, puis reconstruire le réseau. Là, il faut prendre son temps.
#5
Tu as raison il faut avoir ce raisonnement ! Mais la grosse différence est que dans un *nix apache par exemple tourne avec son simple user a aucun droit en dehors de /var/www …
Du coup une faille sur apache n’ouvre qu’apache (et sa BDD) : c’est déjà grave mais ça ne se propagera pas ni au reste du serveur, ni à d’autre machine, sauf à exploiter une autre faille.
Windows est moins bien sécurisé by design sur ce point : tous les services tournent avec les mêmes droits : si apache se fait poutrer, tous les services du serveur peuvent se faire crypter sans avoir à exploiter aucune autre faille particulière.
Rien n’empêche d’obtenir une sécurité similaire sous windows : Créé un user sans-droit apache et faire tourner le service apache avec cet user allégé.
À l’inverse sous linux, rien n’empêcherait de faire tourner apache avec root ou donner sudo à apache :o
La différence est que les choix par défaut ne sont pas les mêmes, un utilisateur non averti qui laisse les choix par défaut sera a priori moins vulnérable sous *nix que sous windows.
#5.1
C’est ce que je disais à la fin de mon message : les Unix-like ont certes une architecture qui fait que par défaut, un utilisateur limité ne risque pas d’impacter le système (sauf s’il a trop de pouvoirs, dans ce cas c’est plus un utilisateur limité). Mais il ne faut absolument pas considérer ça comme une sécurité en soit.
Les failles provoquant de l’escalade de privilège ou la fuite de l’isolation d’un container, c’est loin d’être anecdotique. Sans parler des risques de mauvaise config comme tu l’évoques, et perso j’en ai vu trop dans ma carrière des Linux en mode open bar. Access denied sur un filesytem ? chmod 777 for the win ! SELinux fait chier ? Mode permissif !
Perso je préfère considérer l’infra comme jetable en cas de compromission et m’assurer que le DRP permet de faire son office. Une infra, de nos jours, ça repop en quelques minutes et le plus long sera la restauration de la sauvegarde. Que tu sais estimer si tu joues ton DRP régulièrement sur une plateforme isoprod.
#6
Pourtant c’est la réalité.
Et tu le sais.
Merci Captain Obvious.
C’est juste la réalité.
Tous ceux qui connaissent l’informatique depuis la fin des années 90 l’ont vécu et le vivent encore.
Le monde du mobile et de ses applications, ça n’a pas trop à voir. Par ailleurs, je ne connais personne qui en a choppé et la plupart de mes connaissances ont des mobiles Android (moi aussi).
#7
Pour moi Windows est indéfendable, ça fait juste plus de 25 ans que je constate tous les problèmes de sécurité. Et ça n’a jamais arrêté.
Déjà au début des 2000 toutes les failles qui touchaient Outlook, c’est dingue. Sauf que personne ne réagissait ou pas grand monde. Il y avait quelques boîtes pionnières qui se sont mis à utiliser du Linux un peu partout où c’était possible, et bien sûr sur les postes de travail pour les boîtes orientées conseil en logiciel libre (logique :-) ).
Dans la recherche on a eu tendance à être un peu protégé du fait qu’on est moins sensible au marketing et plus sensible à la qualité technique, plus la conscience des niveaux techniques entre un OS grand public et un OS professionnel (comme Solaris pour n’en prendre qu’un).
#8
Voici la réalité d’aujourd’hui :
https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux
https://blog.lumen.com/chaos-is-a-go-based-swiss-army-knife-of-malware/
https://www.bleepingcomputer.com/news/security/new-symbiote-malware-infects-all-running-processes-on-linux-systems/
En un an.
D’après un rapport sécurité d’IBM en début 2021, la création de nouveaux malwares ciblant les systèmes Linux a bondi de 40% et +500% de malwares couteau-suisse écrits en Go (donc capables d’attaquer du Windows ET du Linux). Le Cloud, c’est 90% de machines sous Linux, Microsoft Azure est un des plus gros hébergeurs d’OS Linux ! Nous ne sommes plus dans les années 90.
Le ransomware-as-a-service est aussi un business qui est très profitable aux cartels qui l’ont monté.
Voilà la réalité du monde. Si tu n’as jamais eu de soucis toi même ou dans ton entourage : tant mieux. Mais se croire protégé par des simples croyances que tel système est plus sécurisé qu’un autre, c’est au mieux de l’inconscience, au pire de l’incompétence crasse. J’ai l’impression de lire les mêmes arguments que les développeurs d’applications métier que je vois passer qui n’ont aucun complexe à avoir une base technique obsolète avec des packages sortis de support depuis 3 ans qui vont te dire “oué mais l’appli est sur le réseau interne y’a pas de risque”.
#9
Ça me fait marrer. Ça peut bondir, ça part de tellement bas que ça reste toujours totalement marginal.
Marrant d’avoir ce genre de discussion encore en 2023, j’ai déjà eu la même il y a 5 ans et 10 ans (et plus). Des gens qui prédisent que ça va changer en défaveur de Linux.
J’ai rappelé juste ci-dessus la réalité du monde.
Par ailleurs j’ai travaillé pour plusieurs hébergeurs depuis une dizaine d’années (et même avant), je crois que je connais un peu les questions de sécurité (sans parler du fait que je suis Unixien puis linuxien de longue date) et les attaques rencontrées.
#9.1
Et hop, un autre qui attaque les containers et les clusters Kubernetes ! Et les related articles qui montrent que c’est tout sauf isolé.
Mais bon, je vois que ça ne sert à rien d’argumenter. Je donne des éléments montrant que la quantité de malwares explose sur les systèmes Linux, mais visiblement tout va bien dans le meilleur des mondes puisque je n’ai en retour que des arguments d’autorité et des croyances.
J’arrête la discussion ici, ça n’amène à rien.
#9.2
Je ne sais pas si mon avis apportera quelque chose au vu de la stérilité du débat mais bon…
Partir du postulat “c’est tel technologie ça ne sera jamais attaqué” est faux, une personne qui se dit travaillant dans la cyber, juste avec cette phrase se décrédibilise, voir c’est surtout un charlot.
Tous les systèmes sont vulnérables, tant que c’est développé par des humains il y aura des failles
Windows ayant une part considérable en terme de marché, c’est normal que ça soit une cible privilégiée = plus de retour d’argent sur investissement.
Cela n’aide pas aussi du fait que le code ne soit pas open source.
Aussi, un autre facteur est que beaucoup d’éditeurs proposent leur logiciel seulement sur Windows.
Les remarques que tu remontes me font penser aux admin infra qui ont de la bouteille, qui continuent de travailler comme dans les années 90 et qui ne savent pas prendre du recul.
Vivement que les mentalités changent afin que les équipes cyber aient enfin plus de moyen…