Concept art for cyber security and information or network protection, with a padlock and various network icons.
Agence web » Actualités du digital » Votre fournisseur d'accès Internet a peut-être été piraté

Votre fournisseur d'accès Internet a peut-être été piraté

Depuis le 12 juillet, quatre fournisseurs d'accès à Internet américains (FAI) ont été piratés. Ils utilisaient tous la même plateforme pour gérer et contrôler leur vaste réseau. En infiltrant cette plateforme, les pirates ont réussi à voler les identifiants des clients, qui étaient par ailleurs cryptés.

Black Lotus Labs a découvert et signalé pour la première fois la vulnérabilité dans Versa Director (la plateforme utilisée par ces quatre FAI) il y a deux jours. Les chercheurs ont identifié la première exploitation de cette vulnérabilité remontant au 12 juin 2024, et elle n'a été corrigée que le 26 août 2024.

Les attaquants ont détourné les routeurs des petites entreprises et des bureaux à domicile pour pénétrer dans les systèmes Versa Director. Ils ont pu pénétrer les systèmes de Versa grâce à un port exposé (qui aurait dû être protégé par un pare-feu renforcé, mais les FAI concernés n'ont pas suivi les instructions de Versa). Les acteurs de la menace ont utilisé ce point d'entrée pour injecter un fichier Java malveillant appelé « VersaMem ». C'est là que se trouvait le bug : le système de téléchargement de fichiers qui aurait dû nettoyer ce fichier. Ce code leur a donné un accès administrateur à l'ensemble du tableau de bord de Versa Director.

Une fois le fichier JAR déployé, les pirates ont obtenu un accès administrateur à distance, ont détourné le processus d'authentification de Versa et ont commencé à voler les identifiants des utilisateurs (noms d'utilisateur et mots de passe) avant qu'ils ne puissent être cryptés pour le transit. De plus, le fichier JAR de VersaMem a une conception modulaire, ce qui signifie que le vol d'identifiants n'est qu'un de ses composants. Les pirates peuvent potentiellement y ajouter davantage de fonctionnalités, mais Black Lotus Labs n'a découvert qu'un seul module jusqu'à présent.

Le malware est également incroyablement sophistiqué et difficile à détecter car il réside entièrement dans la mémoire volatile. Le malware VersaMem « n’a actuellement aucune détection antivirus (AV) », selon Black Lotus Labs. Versa l’a classé comme une menace extrêmement grave, exhortant ses clients à mettre à niveau Verse Director, à respecter les exigences du pare-feu et à renforcer la sécurité. Une mise à jour du bulletin Versa explique également comment rechercher le code malveillant sur les systèmes infectés.

En se basant sur la sophistication et le plan d’attaque, les chercheurs de Black Lotus Labs pensent que Volt Typhoon en est responsable. « Volt Typhoon » est un groupe parrainé par l’État chinois qui cible différents secteurs d’infrastructures aux États-Unis

★★★★★