[ad_1]

Je ne suis pas un grand fan des histoires sur les histoires, ou de celles qui explorent les tenants et les aboutissants du signalement d’une violation. Mais parfois, je me sens obligé de publier de tels comptes lorsque les entreprises répondent à un rapport de violation de telle manière qu’il est clair qu’elles ne sauraient pas quoi faire d’une violation de données si elle les mordait au nez, et encore moins s’envenimait sans être inquiétée dans certains coin sombre de leurs opérations.

Et pourtant, je suis à nouveau en train d’écrire la deuxième histoire cette semaine sur une faille de sécurité potentiellement grave dans une entreprise indienne qui fournit un support informatique et de l’externalisation à un nombre ridicule de grandes entreprises américaines (alerte spoiler : la seconde moitié de cette histoire contient en fait assez quelques nouvelles de l’enquête sur la violation).

Lundi, BreachTrace a annoncé que plusieurs sources signalaient une violation de la cybersécurité à Wipro, le troisième plus grand fournisseur de services informatiques en Inde et un important fournisseur de confiance d’externalisation informatique pour les entreprises américaines. L’histoire cite des rapports de plusieurs sources anonymes qui ont déclaré que les réseaux et systèmes de confiance de Wipro étaient utilisés pour lancer des cyberattaques contre les clients de l’entreprise.

Wipro m’a demandé de leur donner plusieurs jours pour enquêter sur la demande et formuler un commentaire public. Trois jours après avoir tendu la main, la citation que j’ai finalement obtenue d’eux ne reconnaissait aucune des préoccupations soulevées par mes sources. La déclaration n’a même pas reconnu un incident de sécurité.

Six heures après la parution de mon article disant que Wipro était en train de répondre à une violation, la société a été cité dans un quotidien indien reconnaître un incident de phishing. La déclaration de la société affirmait que ses systèmes sophistiqués avaient détecté la violation en interne et identifié les employés concernés, et qu’elle avait engagé une société externe de criminalistique numérique pour enquêter plus avant.

Moins de 24 heures après la publication de mon histoire, les dirigeants de Wipro ont été invités lors d’une conférence téléphonique trimestrielle avec les investisseurs à répondre à mon rapport. Bhanu Ballapuram, directeur de l’exploitation de Wipro a dit aux investisseurs que de nombreux détails de mon histoire étaient erronés et a laissé entendre que la violation était limitée à quelques employés victimes de hameçonnage. L’affaire a été qualifiée de traitée et d’autres journalistes de l’appel sont passés à différents sujets.

À ce stade, j’ai ajouté une question à la file d’attente lors de la conférence téléphonique sur les résultats et j’ai eu l’occasion de demander aux dirigeants de Wipro quelle(s) partie(s) de mon histoire était inexacte. Un dirigeant de Wipro a ensuite procédé à la lecture de morceaux de une déclaration écrite au sujet de leur réponse à l’incident, et le chef de l’exploitation de la société a accepté d’avoir un appel individuel avec BreachTrace pour répondre aux griefs formulés au sujet de mon histoire. Journaliste de sécurité Graham Clley a eu la gentillesse d’enregistrer cette partie de l’appel et postez-le sur Twitter.

Lors de l’appel de suivi avec Wipro, Ballapuram a contesté ma caractérisation selon laquelle la violation avait duré « des mois », affirmant que cela ne faisait que quelques semaines que les employés de l’entreprise avaient été hameçonnés avec succès par les attaquants. J’ai ensuite demandé quand l’entreprise pensait que les attaques de phishing avaient commencé, et Ballapuram a dit qu’il ne pouvait pas confirmer la date approximative du début des attaques au-delà de « semaines ».

Ballapuram a également affirmé que sa société avait été touchée par une attaque « zero-day ». Les vulnérabilités réelles du jour zéro impliquent des faiblesses quelque peu rares et assez dangereuses dans les logiciels et/ou le matériel que même le fabricant du produit en question ne comprend pas avant que la vulnérabilité ne soit découverte et exploitée par des attaquants à des fins privées.

Étant donné que les failles zero-day se réfèrent généralement à des logiciels largement utilisés, il est généralement considéré comme une bonne forme si l’on subit une telle attaque de partager tous les détails disponibles avec le reste du monde sur la façon dont l’attaque semble fonctionner – à peu près de la même manière vous pourriez espérer qu’un patient malade souffrant d’une maladie inconnue et hautement contagieuse pourrait néanmoins choisir d’aider les médecins à diagnostiquer comment l’infection a pu être attrapée et propagée.

Wipro a jusqu’à présent ignoré des questions spécifiques sur le supposé jour zéro, sauf pour dire « sur la base de notre enquête intermédiaire, nous avons partagé les informations pertinentes du jour zéro avec notre AV [antivirus] fournisseur et ils ont publié les signatures nécessaires pour nous.

Je suppose que ce que Wipro entend par « zero-day » est une pièce jointe malveillante qui n’a pas été détectée par tous les outils antivirus commerciaux avant d’infecter les systèmes des employés de Wipro avec des logiciels malveillants.

Ballapuram a ajouté que Wipro a rassemblé et diffusé aux clients concernés un ensemble d ‘«indicateurs de compromission», des indices révélateurs sur les tactiques, les outils et les procédures utilisés par les méchants qui pourraient signifier une tentative ou une intrusion réussie.

Quelques heures après cet appel avec Ballapuram, j’ai eu des nouvelles d’une grande entreprise américaine qui s’associe à Wipro (du moins pour l’instant). La source a déclaré que son employeur avait choisi de couper tout accès en ligne aux employés de Wipro quelques jours après avoir découvert que ces comptes Wipro étaient utilisés pour cibler les opérations de son entreprise.

La source a déclaré que les indicateurs de compromission que Wipro partageait avec ses clients provenaient d’un client Wipro ciblé par les attaquants, mais que Wipro envoyait ces indicateurs aux clients comme s’il s’agissait de quelque chose que l’équipe de sécurité de Wipro avait mis en place par elle-même.

Récapitulons donc la réponse publique de Wipro jusqu’à présent :

– Ignorez les questions du journaliste pendant des jours, puis choisissez des lentes dans son histoire lors d’une conférence téléphonique avec des investisseurs publics.
-Mettez en question le moment indiqué de la violation, mais refusez de fournir un autre calendrier.
– Minimisez la gravité de l’incident et caractérisez-le comme géré, même lorsqu’ils viennent tout juste d’embaucher une société d’expertise judiciaire externe.
– Dites que les intrus ont déployé une « attaque zero-day », puis refusez de discuter des détails de ladite attaque zero-day.
– Réclamez que les IoC que vous partagez avec les clients concernés ont été découverts par vous alors qu’ils ne l’étaient pas.

QU’ONT FAIT LES ATTAQUANTS ?

Les criminels responsables de la violation de Wipro semblent rechercher tout ce qu’ils peuvent transformer en argent assez rapidement. Une source avec laquelle j’ai parlé chez un grand détaillant et client de Wipro a déclaré que les escrocs qui ont fait irruption dans Wipro ont utilisé leur accès pour perpétrer une fraude par carte-cadeau dans les magasins du détaillant.

Je suppose que c’est quelque chose d’une doublure argentée pour Wipro au moins, sinon aussi pour ses clients : un intrus qui était plus concentré sur l’extraction de la propriété intellectuelle ou d’autres actifs plus stratégiques des clients de Wipro aurait probablement pu passer inaperçu pendant une période beaucoup plus longue.

Une source proche de l’enquête qui a demandé à ne pas être identifiée parce qu’il n’était pas autorisé à parler aux médias d’information a déclaré que la société engagée par Wipro pour enquêter sur la violation datait des premières attaques de phishing au 11 mars, lorsqu’un seul employé avait été victime de phishing.

La source a déclaré qu’une campagne de phishing ultérieure entre le 16 et le 19 mars avait attiré 22 employés supplémentaires de Wipro et que le fournisseur enquêtant sur l’incident avait jusqu’à présent découvert plus de 100 points de terminaison Wipro dotés de ScreenConnect, un outil d’accès à distance légitime vendu par Connectwise.com. . Les enquêteurs pensent que les intrus utilisaient le logiciel ScreenConnect sur les systèmes Wipro piratés pour se connecter à distance aux systèmes clients Wipro, qui ont ensuite été utilisés pour exploiter davantage l’accès aux réseaux clients Wipro.

De plus, les enquêteurs ont découvert qu’au moins un des terminaux compromis avait été attaqué avec Mimikatzun outil open source capable de vider les mots de passe stockés dans la mémoire cache temporaire d’un appareil Microsoft Windows.

La source a également déclaré que le fournisseur découvre toujours des systèmes nouvellement piratés, suggérant que les systèmes de Wipro sont toujours compromis et que d’autres terminaux piratés peuvent encore être découverts au sein de Wipro.

Wipro n’a pas encore répondu aux demandes de commentaires de suivi.

Je suis sûr qu’il existe des personnes intelligentes, bien intentionnées et capables qui se soucient de la sécurité et qui travaillent chez Wipro, mais je ne suis pas convaincu qu’aucune de ces personnes ne soit employée à des postes de direction dans l’entreprise. Peut-être que les actions de Wipro à la suite de cet incident reflètent simplement la réalité que l’Inde n’a actuellement aucune loi obligeant les propriétaires ou les sous-traitants de données à informer les individus en cas de violation.

Dans l’ensemble, je suis prêt à attribuer tout cet épisode à un manque total de formation sur la façon de traiter avec les médias d’information, mais si j’étais un client de Wipro, je serais plus qu’un peu préoccupé par la nature sourde de la réponse de l’entreprise jusqu’à présent.

En tant qu’abonné sur Twitter remarqué, « l’ouverture et la transparence parlent d’intégrité et d’une volonté d’apprendre de ses erreurs. Faire exactement le contraire, c’est tout à fait autre chose.

Dans un souci d’ouverture, voici quelques indicateurs de compromis que les clients de Wipro distribuent à propos de cet incident (j’ai dû les obtenir de l’un des partenaires de Wipro car la société a refusé de partager les IoC directement avec BreachTrace).

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *