lolloj - Fotolia
#LeakTheAnalyst : début d’une vaste campagne contre les experts en sécurité ?
Des pirates revendiquent le lancement d’une vaste campagne visant spécifiquement les experts en sécurité informatique. Ils affirment avoir compromis l’infrastructure de Mandiant, filiale de FireEye depuis début 2014.
Piéger les chasseurs de pirates. C’est la motivation affichée par le groupe des « 31337 » (ou eleet, pour "élite" en… leet speak) avec l’opération #LeakTheAnalyst. Dans un message publié sur Pastebin, ils expliquent avoir longtemps « essayé d’éviter des jolis cœurs d’analystes qui essaient de remonter les traces de nos attaques jusqu’à nous et à prouver qu’ils sont meilleurs que nous ». Mais ce temps serait révolu : « tant pis pour les conséquences, suivons-les sur Facebook, LinkedIn, Twitter, etc. Attaquons-nous à tout ce qu’ils ont, à leurs pays, détruisons leur réputation sur le marché ».
Et leur première victime ne serait autre que Mandiant, l’activité conseil de FireEye, rachetée par ce dernier pour 1 Md$ début 2014. Dans leur message diffusé sur Pastebin, les pirates assurent avoir réussi à compromettre « les réseaux internes de Mandiant et ses données clients », des identifiants utilisateur, mais aussi avoir pris le contrôle du profil LinkedIn d’Adi Peretz, analyste sénior chez Mandiant, ainsi que son compte Microsoft Live. Ils revendiquent un début d’intrusion en 2016. Si cela s’avère exact, cela indique à minima 7 mois de présence indétectée.
Les pirates diffusent désormais une archive de près de 34 Mo de données qui auraient été dérobées à Adi Peretz : historique de géolocalisation, documents internes (licences, contrats FireEye, shémas de topologie réseau), identifiants, habitudes de mots de passe, e-mails, etc. Et d’indiquer qu’ils pourraient « publier d’autres données critiques à l’avenir ». Mais même s'il n'existe pas de protection absolue contre les attaques, tout cela est-il bien sérieux ?
— FireEye (@FireEye) July 31, 2017
De son côté, FireEye assure n’avoir pas trouvé d’indication de compromission de ses systèmes. Pour l’entreprise, à ce stade de l’enquête, il ne s’agirait que d’un incident isolé. Chez Kaspersky, l’analyste Ido Naor partage cet avis : « seule une station de travail semble avoir été infectée ». Et il n’est pas le seul. Mais d’autres soulignent que les données diffusées pourraient bien ne constituer qu’un premier lot.