La campagne de cyber-espionnage qui exploite une série de vulnérabilités dans Microsoft Exchange Server n’a pas touché que les États-unis. De notre côté de l’Atlantique, au moins une organisation a d’ores et déjà annoncé avoir été victime du groupe HAFNIUM : l’European Banking Authority, sise à Paris.
La liste des victimes d’HAFNIUM s’allonge. Moins d’une semaine après la découverte de cette cyberattaque lancée par un groupe de hackers présumés à la solde de Pékin, on estime entre 30 000 et 60 000 le nombre d’organisations affectées par l’attaque. Et encore, certains à l’instar de l’ancien patron de la CISA, Chris Krebs, considère que ce bilan est sous-évalué.
La majeure partie des victimes de cette opération de cyber-espionnage est localisée aux États-unis mais il ne faudrait pas s’imaginer que le Vieux Continent a été épargné. A en croire Shodan ce weekend, au moins 10 000 serveurs encore vulnérables sont situés en France. L’European Banking Authority a ainsi annoncé par voie de communiqué faire partie de la liste des victimes.
L’Europe attaquée
“Comme la vulnérabilité est liée aux serveurs de messagerie de l'EBA, l'accès aux données personnelles via les e-mails détenus sur ces serveurs [Exchange] peut avoir été obtenu par l'attaquant” signale cette institution européenne installée à La Défense, à quelques centaines de mètres de l’emplacement du futur Campus Cyber. L’EBA ajoute avoir diligenté une enquête et “'s’efforce d'identifier les données, le cas échéant, auxquelles on a accédé”.
Dès lors, l’institution a mis ses serveurs de messagerie hors-ligne, et a prévenu dans un second communiqué qu’elle déploie des mesures de sécurité supplémentaires en vue de rétablir l’ensemble de ses services de messagerie. “Nos analyses suggèrent qu'aucune extraction de données n'a été effectuée et nous n'avons aucune indication que la violation a dépassé nos serveurs de messagerie” explique-t-elle.
Dans le même temps, Volexity, la société qui a découvert la campagne d’HAFNIUM, a mis à jour son post de blog initial. Elle a en effet observé que l’attaque exploitant les vulnérabilités d’Exchange n’a pas débuté le 6 janvier, mais trois jours plus tôt. Ce qui devrait couper le sifflet des complotistes qui voyaient un lien entre le déclenchement de cette opération de cyberespionnage et les émeutes du Capitole, qui elles ont bien eu lieu le 6 janvier.
MàJ 10/03 : Selon l'Unit42 de Palo Alto Network, il reste au 9 mars 125 000 serveurs vulnérables, dont 33 000 aux Etats-Unis, 21 000 en Allemagne, 7 900 au Royaume-Uni et 5 100 en France.