Hewlett Packard Enterprise (HPE) enquête sur une nouvelle violation potentielle après qu’un acteur de la menace a mis en vente des données prétendument volées sur un forum de piratage, affirmant qu’elles contiennent des informations d’identification HPE et d’autres informations sensibles.
La société a déclaré à Breachtrace qu’elle n’avait trouvé aucune preuve d’une faille de sécurité et qu’aucune rançon n’avait été demandée, mais qu’elle enquêtait sur les allégations de l’auteur de la menace.
« Nous sommes au courant des allégations et enquêtons sur leur véracité », a déclaré jeudi Adam R. Bauer, Directeur principal des communications mondiales de HPE, à Breachtrace .
« Pour le moment, nous n’avons trouvé aucune preuve d’intrusion, ni aucun impact sur les produits ou services HPE. Il n’y a pas eu de tentative d’extorsion. »
Lorsqu’on lui a demandé de fournir des détails supplémentaires sur l’enquête en cours de l’entreprise, Bauer a déclaré qu’ils n’avaient « rien de nouveau à partager. »
IntelBroker, l’acteur menaçant qui vend les données présumées de HPE, a partagé des captures d’écran de certaines des informations d’identification HPE prétendument volées, mais n’a pas encore divulgué la source des informations ou la méthode utilisée pour les obtenir.
« Aujourd’hui, je vends les données que j’ai prises de Hewlett Packard Enterprise », déclare l’acteur de la menace dans un message sur le forum de piratage.
« Plus précisément, les données incluent: l’accès CI/CD, les journaux système, les Fichiers de configuration , les Jetons d’accès, les fichiers HPE StoreOnce (garantie des numéros de série, etc.) et les mots de passe d’accès. (Les services de messagerie sont également inclus). »
IntelBroker est surtout connu pour la violation de DC Health Link, qui a conduit à une audience du Congrès après avoir exposé les données personnelles des membres et du personnel de la Chambre des représentants des États-Unis.
D’autres incidents de cybersécurité liés à IntelBroker sont la violation des Deee! service d’épicerie et violation présumée de General Electric Aviation.
Des pirates russes piratent les comptes de messagerie d’entreprise HPE
Cette enquête intervient après que HPE a révélé il y a deux semaines que l’environnement de messagerie Microsoft Office 365 de l’entreprise avait été piraté en mai 2023 par des pirates informatiques soupçonnés de faire partie du groupe de piratage russe APT29 lié au Service de renseignement extérieur russe (SVR).
La société a déclaré que les pirates russes avaient volé des fichiers et des données SharePoint à son équipe de cybersécurité et à d’autres départements et maintenu l’accès à son infrastructure cloud jusqu’en décembre, date à laquelle HPE a de nouveau été alerté d’une violation de son environnement de messagerie basé sur le cloud.
« Le 12 décembre 2023, HPE a été informé qu’un acteur présumé de l’État-nation avait obtenu un accès non autorisé à l’environnement de messagerie Office 365 de l’entreprise. HPE a immédiatement activé les protocoles de cyber-réponse pour lancer une enquête, remédier à l’incident et éradiquer l’activité », a déclaré HPE à Breachtrace.
« Grâce à cette enquête, qui est toujours en cours, nous avons déterminé que cet acteur étatique avait accédé et exfiltré des données à partir de mai 2023 à partir d’un petit pourcentage de boîtes aux lettres HPE appartenant à des personnes de notre cybersécurité, de notre commercialisation, de nos segments commerciaux et d’autres fonctions. »
Quelques jours avant la divulgation du piratage russe de HPE, Microsoft avait révélé une violation similaire dans laquelle APT29 avait violé certains de ses comptes de messagerie d’entreprise appartenant à son équipe de direction et à ses employés des départements de cybersécurité et juridique.
Microsoft a partagé plus tard que les auteurs de la menace avaient eu accès aux comptes de messagerie de l’entreprise après avoir piraté un compte de locataire de test mal configuré en forçant brutalement son mot de passe dans une attaque de « pulvérisation de mot de passe ».
HPE a également été piraté en 2018 lorsque des pirates chinois APT10 ont également piraté les réseaux d’IBM et utilisé l’accès pour pirater les appareils de leurs clients.
Plus récemment, HPE a révélé en 2021 que les référentiels de données de sa plate-forme de surveillance du réseau central Aruba avaient été compromis, permettant aux attaquants d’accéder aux données sur les appareils surveillés et leurs emplacements.