Le fournisseur de solutions mondial suisse Ascom a confirmé une cyberattaque sur son infrastructure informatique alors qu’un groupe de pirates connu sous le nom de Hellcat cible des serveurs Jira dans le monde entier en utilisant des informations d’identification compromises.
La société a annoncé dans un communiqué de presse que des pirates informatiques avaient violé dimanche son système de billetterie technique et enquêtait actuellement sur l’incident.
Ascom est une société de télécommunications avec des filiales dans 18 pays qui se concentre sur les communications sans fil sur site.
HellCat hacking group a revendiqué l’attaque et a déclaré à Breachtrace qu’ils avaient volé environ 44 Go de données qui pourraient avoir un impact sur toutes les divisions de l’entreprise.
Ascom affirme que les pirates ont compromis son système de billetterie technique, que l’incident n’a eu aucun impact sur les opérations commerciales de l’entreprise et que les clients et partenaires n’ont pas besoin de prendre de mesures préventives.
« Des enquêtes contre de telles infractions pénales ont été ouvertes immédiatement et sont en cours. Ascom travaille en étroite collaboration avec les autorités compétentes » – Ascom
Rey, membre du groupe de piratage HellCat, a déclaré à Breachtrace qu’ils avaient volé le code source d’Ascom pour plusieurs produits, des détails sur divers projets, des factures, des documents confidentiels et des problèmes du système de billetterie.
La société suisse n’a pas fourni de détails techniques sur la violation, mais cibler le système de billetterie Jira est devenu une méthode d’attaque courante pour les pirates HellCat.
HellCat sur une frénésie de piratage Jira
Jira est une plateforme de gestion de projet et de suivi des problèmes couramment utilisée par les développeurs de logiciels et les équipes informatiques pour suivre et gérer les projets. La plateforme contient souvent des données sensibles, telles que le code source, les clés d’authentification, les plans informatiques, les informations client et les discussions internes liées à ces projets.
Les incidents précédents revendiqués par HellCat et confirmés par les sociétés ciblées comptent Schneider Electric, Telefónica et Orange Group, et dans les trois cas, les pirates informatiques se sont introduits par le biais des serveurs Jira.
Récemment, les mêmes pirates informatiques ont également pris la responsabilité d’une attaque contre le constructeur automobile multinational britannique Jaguar Land Rover (JLR) et ont volé et divulgué environ 700 documents internes.
Comme le décrit l’auteur de la menace, la fuite comprend “des journaux de développement, des données de suivi, des codes sources” et les données d’un employé qui exposaient “des informations sensibles telles que le nom d’utilisateur, l’e-mail, le nom d’affichage, le fuseau horaire, etc.”
Alon Gal, cofondateur et directeur technique de la société de renseignement sur les menaces Hudson Rock, affirme que la violation de JLR suit un schéma spécifique aux pirates informatiques HellCat.
“Au cœur de ce dernier incident se trouve une technique qui est devenue la signature de HELLCAT: exploiter les informations d’identification Jira collectées auprès d’employés compromis qui ont été infectés par des Infostealers » – Alon Gal
Le chercheur a déclaré que l’incident de JLR était possible en utilisant les informations d’identification d’un employé de LG Electronics avec des informations d’identification tierces sur le serveur Jira de JLR.
Gal souligne que les informations d’identification compromises n’étaient pas fraîches et avaient été exposées pendant plusieurs années mais sont restées valides pendant tout ce temps, permettant aux pirates d’en profiter.
L’activité de HellCat ne s’est pas arrêtée à ces violations, car l’acteur menaçant a annoncé aujourd’hui qu’il avait compromis le système Jira d’Affinitiv, une société de marketing qui fournit une plate-forme d’analyse de données aux équipementiers et concessionnaires de l’industrie automobile.
L’auteur de la menace a confirmé à Breachtrace qu’il avait violé Affinitiv via un système Jira et révélé publiquement qu’il avait volé une base de données contenant un peu plus de 470 000 “courriels uniques” et plus de 780 000 enregistrements.
Contacté par Breachtrace au sujet de l’attaque présumée, Affinitiv a déclaré qu’ils avaient ouvert une enquête.
Pour prouver la violation, les pirates ont publié deux captures d’écran avec des noms, des adresses e-mail, des adresses postales et des noms de concessionnaires.
Alon Gal avertit que Jira “est devenu une cible privilégiée pour les attaquants en raison de sa centralité dans les flux de travail de l’entreprise et de la richesse des données qu’il héberge” et que ce type d’accès peut être utilisé pour “se déplacer latéralement, augmenter les privilèges et extraire des informations sensibles.”
Comme les informations d’identification collectées par les agents d’information sont faciles à trouver et étant donné que certaines d’entre elles restent inchangées pendant des années car les entreprises ne les incluent pas dans un processus de rotation régulier, de telles attaques deviendront probablement plus fréquentes.