PiChris - Fotolia
Cybermenaces sur Wipro : la piste d’une opération plus vaste contre les ESN
Selon les premiers indicateurs de compromission découverts dans le système d’information de l’entreprise de services numériques indienne, plusieurs de ses concurrents seraient aussi visés.
Il y a quelques jours, Wipro reconnaissait, non sans peine ni gêne, la compromission de comptes de ses collaborateurs, dans le cadre d’une campagne de hameçonnage. Mais l’entreprise de services numériques indienne pourrait bien n’être qu’un exemple d’une campagne plus vaste.
Notre confrères Brian Krebs a obtenu de l’un des partenaires de Wipro ce que l’ESN indienne s’est refusée jusqu’ici à communiquer : des indicateurs de compromission. Ceux-ci font ressortir quelques premiers noms de domaine, adresses IP et condensats de composants logiciels impliqués.
Les noms de domaine en question s’avèrent particulièrement éclairants. Certains d’entre eux renvoient en effet sur des adresses IP utilisées pour d’autres noms de domaine tout aussi suspects. Notre confrère en relève ainsi quelques sous-domaines liés à l’adresse IP 185[.]159[.]83[.]24, trouvée à partir du nom de domaine internal-message[.]app. Il y a là un microsoftonline-secure-login[.]com, mais surtout des sous-domaines faisant référence à d’autres fournisseurs de l'IT de tout premier ordre comme Avanade, Rackspace, PCM, Capgemini, Infosys, mais également Expedia ou encore des acteurs du secteur financier tels que Green Dot, Elavon ou encore First Data.
D’autres adresses IP réservent des surprises supplémentaires, comme 185[.]159[.]83[.]21 où renvoie le domaine encrypted-message.cloud ainsi que trois sous-domaines faisant référence cette fois-ci encore à Capgemini et Wipro, mais également à Costco.
L’historique de ces noms de domaine peut apporter un début d’éclairage sur la chronologie d’attaque. Le nom de domaine internal-message[.]app a ainsi été créé récemment, mi-février dernier. Le nom de domaine encrypted-message[.]cloud est un peu plus jeune : il a été créé le 20 mars dernier, deux jours avant wipro365[.]com, et deux semaines avant xsecuremail[.]com.
Mais quatre autres domaines figurant parmi les indicateurs de compromission s’avèrent plus anciens : securemail[.]online, encrypt-email[.]online, secure-message[.]online, et microsoftonline-secure-login[.]com ont été créés en mai 2018. Le premier de ces quatre noms de domaine fait ressortir des sous-domaines laissant entrevoir des opérations de hameçonnage antérieures, visant les écosystèmes de Gamestop, O. C. Tanner (gestion des ressources humaines), Expedia, InComm (systèmes de points de vente), Euronet Worldwide (services de paiement électronique).
Une rapide enquête sur le nom de domaine encrypt-email[.]online fait ressortir Coinstar. Et de faire émerger au passage un autre domaine créé, lui, en février 2018 : mcafeeonlinescanner[.]com, qui semble avoir été utilisé pour piéger des internautes de l’environnement d’InComm, à nouveau.
La liste d’indicateurs de compromission fait également apparaître ScreenConnect, aussi appelé désormais ConnectWise Control, un outil de prise de main à distance. Coïncidence ou pas, une extension vulnérable de ConnectWise, permettant son intégration avec les outils de Kaseya, a conduit récemment à la compromission de plusieurs prestataires d’infogérance par le rançongiciel GanCrab. Et cela même si un correctif était disponible depuis l’automne 2017.
Il n’existe pas, à ce jour, de lien établi entre les deux. Toutefois, ces incidents soulignent une fois de plus l’importance de la menace qui pèse sur les ESN.