Un groupe d’États-nations affirme avoir effacé 200 000 appareils dans 79 pays après une éventuelle compromission de Microsoft Intune.
Une cyberattaque majeure contre le géant américain des fournitures médicales Stryker a entraîné l’effacement à distance de milliers d’appareils, après qu’un groupe de hackers pro-iranien ait pu compromettre le système de gestion Microsoft Intune de l’entreprise.
Les détails restent flous, mais ce qui semble s’être produit mercredi dans l’une des plus grandes sociétés de fournitures médicales au monde pourrait, s’il était confirmé, rivaliser avec l’ampleur du tristement célèbre incident de Shamoon en 2012, au cours duquel 30 000 ordinateurs appartenant à Saudi Aramco ont été effacés. Stryker compte 56 000 employés dans le monde.
En Irlande, des milliers d’employés de Stryker n’ont pas pu se connecter à leur ordinateur, tandis que d’autres dans le monde se sont tournés vers Reddit et X pour se plaindre que plusieurs appareils avaient été effacés.
« Aucune indication de malware »
« Pour le moment, il n’y a aucune indication de malware ou de ransomware et nous pensons que la situation est limitée à notre environnement Microsoft interne uniquement », peut-on lire dans la mise à jour de jeudi de l’entreprise.
Un jour plus tôt, la gravité des perturbations en cours avait amené Stryker à déposer un rapport plus détaillé auprès de la Securities and Exchange Commission (SEC) des États-Unis.
« L’incident a provoqué, et devrait continuer de provoquer, des perturbations et des limitations d’accès à certains systèmes d’information et applications métier de la société », a déclaré Stryker. « Bien que la société travaille avec diligence pour restaurer les fonctions et l’accès aux systèmes concernés, le calendrier d’une restauration complète n’est pas encore connu. »
Un tel dépôt n’est requis que lorsqu’une société cotée en bourse subit une attaque que les investisseurs pourraient considérer comme matériellement importante.
Le fait que plusieurs appareils aient été concernés, y compris les appareils mobiles BYOD, indique une compromission du système de gestion Microsoft Intune de l’entreprise. Bien que cela n’ait pas été confirmé, une compromission réussie d’Intune aurait permis aux attaquants d’effacer les appareils à distance, sans avoir à déployer de logiciels malveillants.
Handala revendique du crédit
Le groupe menaçant Handala a rapidement revendiqué la responsabilité de l’attaque. Bien que l’implication du groupe ne soit pour l’instant qu’une affirmation, les employés de Stryker auraient vu une version du logo Handala – une caricature d’un garçon palestinien avec le dos tourné et les mains croisées derrière lui – sur les appareils concernés.
L’identité de Handala est difficile à établir. Palo Alto l’a connecté au ministère iranien du Renseignement et de la Sécurité (Vevak) via une seconde identité, Void Manticore. D’autres fournisseurs de sécurité utilisent des noms différents, notamment Banished Kitten et Storm-842.
La motivation politique du groupe est moins mystérieuse. Dans un communiqué publié sur son site Internet, le groupe a présenté cette cyberattaque comme une réponse à l’attaque du 28 février contre une école de la ville iranienne de Minab, qui a tué jusqu’à 170 enfants et adultes.
« Nous annonçons au monde qu’en représailles à l’attaque brutale contre l’école Minab et en réponse aux cyberattaques en cours contre l’infrastructure de l’Axe de la Résistance, notre cyberopération majeure a été exécutée avec un plein succès », a-t-il déclaré. « Au cours de cette opération, plus de 200 000 systèmes, serveurs et appareils mobiles ont été effacés et 50 téraoctets de données critiques ont été extraits. »
Défaut critique
Si Intune était la voie à suivre pour compromettre le système, la première tâche de l’équipe médico-légale de Stryker sera de déterminer comment les attaquants ont pu pénétrer dans le système.
« Stryker utilise Entra pour l’authentification, qui intègre tout avec l’authentification unique, y compris le logiciel qui construit et met à jour tous les appareils, y compris les serveurs, les ordinateurs portables et les téléphones », a commenté Rob Demain, PDG de la société de sécurité gérée, e2e-assure.
« Il s’agit d’un modèle de conception de bonnes pratiques, mais avec un défaut critique : s’il est compromis, l’attaquant a accès pour effacer tous les appareils, ce qui semble être ce qui s’est produit ici. L’accès initial se fera probablement via le vol d’informations d’identification, généralement Adversary-in-the-Middle (AitM). »
Compromettre un système aussi critique suggère une défaillance de sécurité importante, a déclaré Jon Abbott, PDG et co-fondateur de la société de gestion de sécurité ThreatAware.
« Les attaquants ont soit trompé le service d’assistance pour qu’il réinitialise les informations d’identification de l’administrateur, comme nous l’avons vu avec les attaques Scattered Spider, soit pris le contrôle de la machine d’un administrateur, soit lancé un spear phishing directement sur un administrateur », a déclaré Abbott.
« Il semble peu probable que les attaquants aient pu réussir cela sans que quelqu’un commette une erreur fondamentale critique. Toute personne accordant l’accès à un compte administrateur doit intensifier ses contrôles de vérification. Beaucoup de nos clients nécessitent désormais des appels vidéo à trois avant de réinitialiser les informations d’identification de l’administrateur, réunissant l’administrateur, son responsable et l’opérateur du centre de services. »
Les sociétés de sécurité prévoyaient que les groupes pro-iraniens cibleraient les entreprises américaines en lançant des attaques d’effacement lorsque la guerre éclaterait. Il s’agit d’une augmentation du niveau de menace avec un message clair : les acteurs de l’État-nation iraniens ciblent désormais de manière agressive les entreprises américaines et leurs chaînes d’approvisionnement, et n’épargneront personne. Chaque faiblesse et erreur sera exploitée.
