LORSQUE LES NOUVELLES ONT FRAPPÉ plus tôt cette semaine que les pirates chinois ciblaient activement les serveurs Microsoft Exchange, la communauté de la cybersécurité a averti que les vulnérabilités zero-day qu’ils exploitaient pourraient leur avoir permis de frapper d’innombrables organisations à travers le monde. Maintenant, il devient clair que de nombreux serveurs de messagerie qu’ils ont piratés. De toute évidence, le groupe connu sous le nom de Hafnium a violé autant de victimes qu’il pouvait trouver sur Internet mondial, laissant derrière lui des portes dérobées pour y revenir plus tard.
Hafnium a maintenant exploité les vulnérabilités zero-day dans Outlook Web Access des serveurs Microsoft Exchange pour compromettre sans discernement pas moins de dizaines de milliers de serveurs de messagerie, selon des sources connaissant l’enquête sur la campagne de piratage informatique qui ont parlé à WIRED. Les intrusions, repérées pour la première fois par la société de sécurité Volexity, ont commencé dès le 6 janvier, avec une hausse notable à partir de vendredi dernier et un pic au début de la semaine. Les pirates semblent avoir répondu au correctif de Microsoft, publié mardi, en intensifiant et en automatisant leur campagne de piratage. Un chercheur en sécurité impliqué dans l’enquête qui s’est entretenu avec WIRED sous couvert d’anonymat a estimé le nombre de serveurs Exchange piratés à plus de 30000 aux États-Unis seulement, et à des centaines de milliers dans le monde, tous apparemment par le même groupe. Le journaliste indépendant de cybersécurité Brian Krebs a rapporté pour la première fois ce chiffre de 30 000 vendredi, citant des sources qui avaient informé les responsables de la sécurité nationale.
« C’est énorme. Absolument énorme », a déclaré un ancien responsable de la sécurité nationale au courant de l’enquête à WIRED. « Nous parlons de milliers de serveurs compromis par heure, dans le monde. »