le Services secrets américains enquête sur une brèche chez un sous-traitant technologique gouvernemental basé en Virginie qui a vu l’accès à plusieurs de ses systèmes mis en vente dans le cybercrime clandestin, a appris BreachTrace. L’entrepreneur affirme que l’accès mis aux enchères concernait d’anciens systèmes de test qui n’ont pas de connexions directes avec les réseaux de ses partenaires gouvernementaux.
À la mi-août, un membre d’un forum populaire sur la cybercriminalité en langue russe a proposé de vendre l’accès au réseau interne d’un sous-traitant informatique du gouvernement américain qui fait affaire avec plus de 20 agences fédérales, dont plusieurs branches de l’armée. Le vendeur s’est vanté d’avoir accès à la correspondance par e-mail et aux informations d’identification nécessaires pour consulter les bases de données des agences clientes, et a fixé le prix d’ouverture à six bitcoins (~ 60 000 USD).
Un examen des captures d’écran publiées sur le forum sur la cybercriminalité comme preuve de l’accès non autorisé a révélé plusieurs adresses Internet liées aux systèmes du nous Département des transportsla Instituts nationaux de la santé (NIH), et Services Américains de la Citoyenneté et de l’Immigration (USCIS), une composante du Département américain de la sécurité intérieure qui gère le système national de naturalisation et d’immigration.
D’autres domaines et adresses Internet inclus dans ces captures d’écran pointaient vers Miracle Systems LLCun entrepreneur informatique basé à Arlington, en Virginie, qui déclare sur son site qu’il dessert plus de 20 agences fédérales en qualité de maître d’œuvre, y compris les agences précitées.
Dans une interview avec BreachTrace, PDG de Miracle Systems Sandesh Sharda a confirmé que l’enchère concernant les informations d’identification et les bases de données était gérée par sa société et qu’un agent enquêteur des services secrets se trouvait dans les bureaux de sa société à ce moment précis pour enquêter sur l’affaire.
Mais il a soutenu que les données volées présentées dans les captures d’écran dataient de plusieurs années et n’étaient mappées qu’à des systèmes de test internes qui n’avaient jamais été connectés à ses clients d’agences gouvernementales.
« Les services secrets sont venus nous voir et ont dit qu’ils examinaient le problème », a déclaré Sharda. « Mais c’était de vieux trucs [that was] dans notre propre environnement de test interne, et il n’est plus valide.
Pourtant, Sharda a reconnu les informations partagées par la société de sécurité basée au Wisconsin Garder la sécuritéqui a alerté BreachTrace de cet incident, indiquant qu’au moins huit de ses systèmes internes avaient été compromis à trois reprises entre novembre 2018 et juillet 2019 par émoticôneune souche de logiciels malveillants généralement distribuée via des pièces jointes contenant des logiciels malveillants et qui est généralement utilisée pour déployer d’autres logiciels malveillants.
Le département de la Sécurité intérieure n’a pas répondu aux demandes de commentaires, pas plus que le département des Transports. Un porte-parole du NIH a déclaré que l’agence avait enquêté sur l’activité et constaté qu’elle n’était pas compromise par l’incident.
« Comme c’est le cas pour toutes les agences du gouvernement fédéral, le NIH est constamment sous la menace d’une cyberattaque », a déclaré le porte-parole du NIH. Julius Patterson mentionné. « Le NIH a un programme de sécurité complet qui surveille et répond en permanence aux événements de sécurité, et les incidents liés à la cybersécurité sont signalés au Département de la sécurité intérieure via le HHS Computer Security Incident Response Center. »
L’une des nombreuses captures d’écran proposées par le vendeur du dark web comme preuve d’accès à un sous-traitant informatique fédéral identifié plus tard comme Miracle Systems, basé à Arlington, en Virginie. Image : Maintenez la sécurité.
La poussière impliquant Miracle Systems survient au milieu de nombreuses interrogations parmi les agences fédérales américaines sur la meilleure façon de renforcer et d’assurer la sécurité d’une multitude d’entreprises privées qui gèrent les contrats informatiques fédéraux et traitent les données gouvernementales.
Pendant des années, les agences fédérales avaient peu d’options pour obliger les entrepreneurs privés à respecter les mêmes normes de sécurité auxquelles ils doivent adhérer – au-delà peut-être de restreindre la façon dont les dollars fédéraux sont dépensés. Mais les mises à jour récentes des réglementations fédérales en matière d’acquisition permettent aux agences d’étendre ces mêmes règles aux fournisseurs, d’appliquer des exigences de sécurité spécifiques et même de supprimer les contrats qui se révèlent enfreindre des clauses de sécurité spécifiques.
En juillet, la Customs and Border Patrol (CPB) du DHS suspendu tous les contrats fédéraux avec Perceptsun sous-traitant qui vend des scanners de plaques d’immatriculation et d’autres équipements de contrôle aux frontières, après que les données collectées par l’entreprise ont été mis à disposition en téléchargement sur le dark web. Le CPB a déclaré plus tard que la violation était le résultat d’un entrepreneur fédéral copiant des données sur son réseau d’entreprise, qui a ensuite été compromis.
Pour sa part, le ministère de la Défense a récemment publié des normes de cybersécurité tant attendues pour les sous-traitants qui travaillent avec les données sensibles du Pentagone.
« Ce problème n’est pas nécessairement un niveau d’approvisionnement de premier niveau », a déclaré le directeur de l’information du DOD. Dana Deasy Raconté la commission sénatoriale des forces armées plus tôt cette année. « C’est en baisse quand vous arrivez aux sous-traitants de niveau trois et de niveau quatre ».