Le 20 avril, le groupe REvil a indiqué avoir attaqué l’important fournisseur taïwanais d’ordinateurs portables et autres smartphones Quanta. Parmi les clients de la société, Apple, dont des plans et informations confidentielles sur le design et l’ingénierie de ses produits auraient été volés.
Quanta, un fournisseur et partenaire d’Apple, pour qui il produit des ordinateurs portables et autres montres – mais aussi d’autres constructeurs infomatiques (Dell, Hewlett-Packard, Alienware, Lenovo, Cisco et Microsoft) – a été ciblé par une attaque de ransomware. Les hackers ont réussi à dérober une quantité jusqu’à présent inconnue d’informations importantes, dont des plans et informations confidentielles sur le design et l’ingénierie de produits Apple. « Dans ce cas précis, les hackers ont visé les plans de conception d’Apple en passant par un tiers de confiance – et on ignore encore la portée absolue de cette attaque« , commente Justin Fier, Director of Cyber Intelligence & Analytics chez le spécialiste en cybersécurité Darktrace, et lui-même expert américain en matière de cyberespionnage.
La cybersécurité des entreprises et de leurs chaînes d’approvisionnement
Cette attaque de grande ampleur pose de nombreuses questions sur la cybersécurité des entreprises et de leurs chaînes d’approvisionnement. « Il y a nul doute que les chaînes logistiques et d’approvisionnement numériques complexes sont un paradis pour les hackers. De plus en plus, les données critiques des entreprises sont souvent gérées en dehors de l’entreprise propre. Cette complexité nouvelle offre aux cybercriminels de nombreux points d’accès », explique l’expert.
Que doit faire Apple dans cette situation ? Et comment l’entreprise peut-elle se protéger si les sous-traitants sont si facilement piratés ? Pour Denis Legazo, Senior Security Researcher au sein du GReAT (équipe de recherche et analyse) de Kaspersky, « malheureusement, les mesures de protection purement techniques ne suffisent pas – le périmètre de protection du contractant est de son ressort. Il ne reste plus aux fabricants qu’à imposer des exigences strictes en matière de sécurité de l’information à leurs fournisseurs, ou encore, par exemple, à imposer des sanctions juridiques en cas de violations de ce type. »
Justin Fier exhorte : « Les fournisseurs doivent être tenus à des normes plus strictes. Les dernières demandes de l’administration Biden, ainsi que du gouvernement français et de la Commission Européenne, en faveur d’exigences plus strictes en matière de transparence et de contrôle de la cybersécurité sont les bienvenues. » A ses yeux, les organisations doivent adopter des technologies capables de réagir à la vitesse de la machine face aux attaques rapides comme les rançongiciels. Et pour lui, une solution se dégage : l’IA. « Ceux qui réussissent à contrer les menaces rapides protègent leurs systèmes grâce à l’intelligence artificielle ; ces technologies sont capables de détecter les activités subtiles qui précèdent une attaque importante et d’agir en vitesse pour contrer les menaces avant que les données ne soient rançonnées. »
Le groupe REvil aux commandes
C’est le ransomware REvil qui a été utilisé pour cette attaque. Comment fonctionne-t-il ?Denis Legaz explique que le ransomware REvil (également surnommé Sodin ou Sodinokibi) est connu depuis 2019 et peut à la fois chiffrer et voler des données. « Il est accessible via des forums spécialisés « par abonnement » (ransomware-as-a-service). Ainsi, deux groupes d’attaquants sont impliqués dans l’attaque : le premier trouve une brèche dans la protection de l’entreprise et y injecte REvil, et le second crée le malware. Après le chiffrement ou le vol de données, une rançon est demandée à la victime. Et en cas de succès, elle est divisée entre ces groupes. » Il ajoute qu’une caractéristique intéressante de ce logiciel malveillant est « qu’il ne démarre pas s’il détecte certaines langues lors de la vérification de la langue du système et des configurations des claviers (il s’agit d’un vaste ensemble de dizaines de dispositions), y compris le russe. La menace est réelle et il ne s’agit pas du premier incident notoire utilisant ce logiciel malveillant. »
Ainsi début avril, le groupe pharmaceutique et cosmétique Pierre Fabre indiquait avoir été victime d’une cyberattaque, mettant certains de ses sites de production à l’arrêt. Ce même groupe de ransomware REvil avait alors revendiqué l’attaque. A cette occasion, Trend Micro expliquait que REvil fonctionne avec des affiliés triés sur le volet. « Le service est vendu à un faible nombre d’affiliés non-anglophones, par le biais de quelques forums cybercriminels russophones » , précisait le spécialiste en cybersécurité. « Ces affiliés sont triés notamment en fonction de leur capacité à compromettre des réseaux d’entreprise et les infecter. » Avant Pierre Fabre, Tata Steel, Asteelflash ou encore Acer avaient été la cible de ce RaaS.
Denis Legaz se désole : « Les attaques de ransomware ciblées visant des multinationales sont devenues monnaie courante, notamment ces dernières années. Une attaque spécifique comme celle-ci ciblant une entreprise connue dans le monde entier ne changera pas la façon dont les choses fonctionnent ». Mais il espère que « la réaction à cette tendance sera une plus grande vigilance de la part des entreprises via une surveillance accrue des événements de sécurité, la mise en place de systèmes de cybersécurité complexes incluant la détection proactive des attaques, sans oublier une formation renforcée des salariés aux règles de cybersécurité à observer. »
Selon Bleeping Computer, les pirates auraient demandé dans un premier temps une rançon de 50 millions de dollars à Quanta, à payer avant le 27 avril. Apple aurait jusqu’au 1er mai pour payer un montant non connu.
Hier, Quanta a indiqué dans un communiqué : »Les activités quotidiennes de l’entreprise n’ont pas été touchées ». Le fournisseur explique avoir « travaillé avec un certain nombre d’experts techniques de sociétés de sécurité externes pour faire face à cette
attaque réseau sur un petit nombre de serveurs de Quanta. Quanta a activé d’abord le dispositif de défense, a effectué un inventaire des cyberattaques, et quelques-uns des services internes affectés ont été restaurés. Nous passons également en revue et renforçons simultanément notre infrastructure existante afin de mettre à niveau de manière complète la sécurité de notre réseau et protéger la sécurité et l’intégrité des données. »
