Schneider Electric victime d’une cyberattaque

Tout commence autour du 1^er novembre. Un acteur malveillant lié à toute jeune enseigne de ransomware HellCat annonce, sur Y (anciennement Twitter), disposer d’un accès root sur un système, sans plus de précision. 

L’identité de la victime sera révélée plus tard, le 4 novembre, avec la publication d’une revendication : Schneider Electric. 

Dans cette revendication, l’assaillant déclare avoir réussi à compromettre une instance d’Atlassian Jira exploitée par l’intéressé : « cette brèche a compromis des données critiques, notamment des projets, des problèmes et des plugins, ainsi que plus de 400 000 lignes de données d'utilisateurs, pour un total de plus de 40 Go de données compressées », indique-t-il.

Non sans un certain humour, il dit vouloir être payé en monero ou… en baguettes : « afin de garantir la suppression de ces données et d'empêcher leur publication, nous exigeons un paiement de 125 000 USD en baguettes. Le non-respect de cette demande entraînera la diffusion des informations compromises ». Celle-ci est programmée pour le 7 novembre. Les baguettes sont bien évidemment une blague. 

Mais en cas de reconnaissance publique de l’incident, le montant réclamé pourra être réduit de 50 %. Pourquoi ? « Parce que la plupart des entreprises que je rançonne s’en moquent » et préfèrent réfuter les allégations, assure l’attaquant. Et de pointer que Schneider Electric a déjà été l’objet d’une cyberattaque en janvier 2024. Elle impliquait Cactus. L’entreprise a également été touchée par Cl0p en 2023, lors de sa vaste campagne d’exploitation de vulnérabilité inédite affectant l’outil de transfert de fichiers MOVEit.

Cette fois-ci, l’assaillant dit avoir commencé par exploiter un accès administrateur à l’instance Jira de Schneider Electric. Il assure ne pas avoir acheté cet accès, mais sans préciser comment il l’a obtenu. 

De là, dit-il, « j’ai scrapé tout ce que je pouvais avant d’uploader un webshell ». Ce dernier lui a permis d’accéder au serveur : « et boom, nous avions la permission ALL NOPASSWD par défaut sur l’utilisateur en cours. Ce qui veut dire que nous avions un accès total au serveur ». 

Mais le travail ne lui a pas pour autant été mâché : « ils ont une sorte de sécurité qui ne nous permet pas de démarrer un reverse shell ou d'uploader quoi que ce soit et qui ne nous permet pas de télécharger des fichiers de plus de 300 Mo ». Toutefois, « nous avons donc divisé les fichiers de 300 Mo chacun et les avons sauvegardés », ailleurs, avant de télécharger ces segments d’archive. 

L’acteur malveillant nous a fourni une capture d’écran confortant ses allégations. L’instance Jira concernée est actuellement indisponible. Selon l’assaillant, ce sont les équipes de Schneider Electric elles-mêmes qui l’ont mise hors ligne pour enquêter sur l’incident.

Nous avons sollicité le service de presse de Schneider Electric, sans effet à l’heure où nous publions ces lignes. Nous ne manquerons de mettre à jour cet article avec les éventuels éléments qui nous seront adressés. 

Dans une déclaration adressée à nos confrères de Bleeping Computer, Schneider Electric reconnaît toutefois un incident de sécurité. L’entreprise se dit « enquêter un incident de cybersécurité impliquant un accès non autorisé à l’une de [ses] plateformes internes de suivi d’exécution de projets qui est hébergée dans un environnement isolé ».