Comment une faille dans les emails a permis à des pirates de dérober les données gouvernementales mondiales
L'équipe d'analyse des menaces de Google a décelé une faille de sécurité en juin. Cette découverte soulève des questions sur la sécurité de nos données. Qu'en est-il de la protection de nos informations personnelles ?
Tl;dr
- Google a découvert une faille dans le serveur de messagerie Zimbra exploitée pour voler des données gouvernementales.
- L’exploit, connu sous le nom de CVE-2023-37580, a commencé à être utilisé fin juin en Grèce.
- Le groupe de menaces Winter Vivern a également exploité la faille, ciblant les gouvernements de Moldavie et de Tunisie.
- Zimbra reste une cible attrayante pour les adversaires en raison de sa popularité parmi les organisations à budget informatique limité.
Google dévoile une faille de sécurité exploitée pour voler des données gouvernementales
La Threat Analysis Group de Google a révélé avoir découvert une faille dans le serveur de messagerie Zimbra, exploitée pour dérober des données de plusieurs gouvernements, dont ceux de la Grèce, de la Moldavie, de la Tunisie, du Vietnam et du Pakistan.
Une exploitation qui commence en Grèce
L’exploitation de cette faille, connue sous le nom de CVE-2023-37580, a débuté en Grèce à la fin du mois de juin. Les attaquants ont découvert la vulnérabilité et envoyé des emails contenant l’exploit à une organisation gouvernementale. Si une personne cliquait sur le lien tout en étant connectée à son compte Zimbra, l’exploit volait automatiquement les données de messagerie et mettait en place une redirection automatique pour prendre le contrôle de l’adresse.
Une faille de sécurité largement exploitée après sa révélation
Bien que Zimbra ait publié un correctif sur la plateforme open source Github le 5 juillet, la majeure partie de l’activité déployant l’exploit a eu lieu par la suite. Cela signifie que les cibles n’ont pas eu le temps de mettre à jour le logiciel avec le correctif avant qu’il ne soit trop tard. “Ces campagnes mettent également en évidence la façon dont les attaquants surveillent les dépôts open source pour exploiter de manière opportuniste les vulnérabilités dont le correctif est dans le dépôt, mais pas encore diffusé aux utilisateurs”, a écrit le Google Threat Analysis Group dans un billet de blog.
Le groupe de menaces Winter Vivern entre en jeu
Vers la mi-juillet, il est devenu évident que le groupe de menaces Winter Vivern avait mis la main sur l’exploit. Ce dernier a ciblé des organisations gouvernementales en Moldavie et en Tunisie. Par la suite, un troisième acteur inconnu a utilisé l’exploit pour pêcher les identifiants des membres du gouvernement vietnamien.
L’avis de la rédaction
Cet incident souligne l’importance de la vigilance en matière de cybersécurité. Les organisations, en particulier celles dotées de budgets informatiques limités, doivent se tenir informées des mises à jour de sécurité et les appliquer rapidement pour protéger leurs informations sensibles. Il est essentiel de comprendre que le monde numérique, tout comme le monde réel, est peuplé de prédateurs en quête d’opportunités.