James Steidl - Fotolia
Suspicion de lien entre la cyberattaque de Maze sur Xerox et HCL Technologies
Tout récemment, les cyberdélinquants aux commandes de ce rançongiciel ont indiqué avoir frappé Xerox, captures d’écran à l’appui. L’une d’entre elles présente le logo de l’entreprise de services numérique indienne dont est client l’Américain. L’indice d’un vecteur d’entrée ?
Le premier juillet, les opérateurs du rançongiciel Maze revendiquaient la compromission de Xerox. En fait, ils l’avaient déjà revendiquée le 24 juin, affirmant avoir dérobé plus de 100 Go de données, avant de faire marche arrière, pour laisser un peu de temps aux négociations, selon certaines sources. Mais par où sont entrés les assaillants ?
D’éventuelles portes d’entrée chez Xerox
Plusieurs points d’entrée potentiels ont été observés chez la victime. Microsoft soulignait fin avril que le groupe Maze est notamment un habitué de l’attaque en force brute des services RDP. Et justement, Germàn Fernàndez a ainsi relevé sur Twitter un service RDP exposé par un système Windows 7 Enterprise, rattaché au domaine xerox.net. Troy Mursch, chez Bad Packets, a quant à lui relevé trois systèmes Citrix affectés par la vulnérabilité CVE-2019-19781 jusqu’au 11 janvier. Sans surprise, pour Onyphe, ils n’apparaissent pas vulnérables sur les six derniers mois.
À cela, on pourrait ajouter plusieurs systèmes sur Azure qui exposent leur service RDP, dont cinq liés au domaine xerox.com, deux à docushare.com, un autre à xerox.it, et un dernier non associé à un domaine de Xerox, mais exposant malgré tout un service signé par un certificat attribué à l’entreprise. Toutefois, selon les données de Spyse, ces services RDP supportent l’authentification au niveau du réseau (NLA, Network Level Authentication). Et Shodan n’a d’ailleurs pas de capture d’écran pour eux.
Enfin, GISX, désormais Xerox Business Solutions, expose deux passerelles Citrix sur Azure – et ce n’est pas parce qu’elles sont sur un cloud public qu’il ne faut pas en assurer manuellement la mise à jour. Selon nos observations, sur Spyse, des mises à jour semblent avoir été effectuées autour du 20 janvier.
Mais l’une des captures d’écran utilisées par les cybertruands de Maze pour étayer leurs affirmations cache une surprise : on y voit clairement, et en bonne place, le logo de HCL Technologies. Comment expliquer cela ?
If you don't know now you know.#Maze #Ransomware crew took credit for Xerox breach. @Xerox was infected with ransomware.
— Ransom Leaks (@ransomleaks) July 1, 2020
Email addresses included are for Xerox's Employee Service Center and Intern programs.
Expect to see lots of employee and intern PII in this leak + more pic.twitter.com/CNpMxTP7sb
Et d’autres chez HCL Technologies
Xerox et HCL entretiennent des relations d’affaires de longue date. En mars 2019, les deux entreprises ont annoncé l’extension de celles-ci avec un accord de services managés, pour une période de 7 ans et un montant de rien moins que 1,3 Md $. De quoi « transformer les services partagés de Xerox dans le monde entier », avec notamment certaines fonctions administratives et de support, dont certaines touchant à l’IT et aux finances – hors comptabilité.
Toujours fin avril, Microsoft évoquait la propension des opérateurs de Maze à attaquer leurs victimes finales via leurs prestataires de services managés. Et HCL Technologies n’est pas exempt de portes d’entrée potentielles. Cela commence par quelques systèmes hébergés sur AWS et exposant leur service RDP, dont deux semblent ne pas avoir été protégés par NLA avant le début, voire le milieu, de ce mois de juin, et pour le troisième, la mi-décembre 2019, selon les données de Shodan.
À cela, il convient d’ajouter un système Pulse Secure, sur un autre domaine du groupe, dont Bad Packets nous apprend qu’il n’a pas reçu le correctif pour la vulnérabilité CVE-2019-11510 avant la mi-septembre de l’an dernier. Rattachée au même sous-domaine que ce serveur VPN, on trouve une passerelle Citrix, qui semble avoir été mise à jour autour de la mi-janvier. Shodan l’a vue affectée par la vulnérabilité CVE-2019-19781 le 13 janvier ; lors d’un balayage 7 jours plus tard, cette passerelle ne semblait plus affectée.
Mais ces systèmes Citrix et Pulse Secure n’apparaissent pas hébergés directement par HCL : ils renvoient à sa filiale Volvo IT, dont l’intégration a été finalisée fin 2016. Spyse compte 207 vulnérabilités de sévérité « élevée » en cette mi-juillet, sur les adresses IP rattachées à ce système autonome. Et c’est là que l’on trouve les systèmes Pulse Secure et Citrix évoqués plus haut, aux côtés de deux autres serveurs Citrix. Chez Bad Packets, Troy Mursch nous apprend avoir vu là plusieurs serveurs Pulse Secure encore affectés par la vulnérabilité CVE-2019-11510 fin août 2019 – pour laquelle un correctif était alors disponible depuis 4 mois, pour mémoire. En revanche, aucun service RDP ne semble exposé sur les adresses liées à ce système autonome.
Un silence assourdissant
Le lien entre HCL et Volvo IT renvoie directement à Renault Trucks et, avec lui, Arquus. Parmi les autres clients de l’ESN indienne en France, on compte Airbus, Alstom, ArcelorMittal, Biomerieux, Lafarge, Oney Bank ou encore STMicroelectronics. Aucun d’entre eux n’a répondu à nos demandes de commentaires à l’heure où sont publiées ces lignes. Mais deux sources nous ont fait état de préoccupations chez certains de ces grands comptes.
Coïncidence ou pas, un autre client de HCL Technologies a récemment été victime d’un ransomware : Avon, avec DoppelPaymer. Mais si ce dernier reconnaît « un incident cyber en juin qui a interrompu certains systèmes et partiellement affecté l’activité », il n’indique rien de plus que « continuer d’enquêter et d’évaluer l’étendue de l’incident ».
De son côté, Xerox n’a pas répondu à notre demande de commentaires. Enfin, malgré plusieurs relances, HCL Technologies n’a pas répondu aux questions adressées par la rédaction, par e-mail.