Des acteurs parrainés par l’État ont ciblé les dispositifs de sécurité utilisés par les gouvernements du monde entier, selon la société technologique Cisco Systems, qui a déclaré que les dispositifs réseau sont des points d’intrusion convoités par les espions.
Dans un article de blog mercredi, Cisco l’a nommé “Porte Arcane”, et a décrit l’activité comme une campagne axée sur l’espionnage menée par « des acteurs parrainés par l’État ciblant les périphériques de réseau périmétrique de plusieurs fournisseurs ». Il a également déclaré avoir trouvé des victimes dans le monde entier, toutes impliquant des réseaux gouvernementaux.
Cisco et les agences de cybersécurité du Canada, de l’Australie et du Royaume-Uni exhortent leurs clients à mettre rapidement à jour leurs appareils.
Dans un avis conjoint distinct, le Centre canadien pour la cybersécurité, l’Australian Cyber Security Centre de l’Australian Signals Direction et le National Cyber Security Centre du Royaume-Uni ont déclaré qu’ils avaient été surveillance des cyberactivités malveillantes depuis début 2024, qui cible les services de réseaux privés virtuels – connus sous le nom de VPNS – utilisés par les gouvernements et les infrastructures critiques à l’échelle mondiale.
Les VPN offrent un tunnel privé qui permet aux employés de se connecter aux réseaux du bureau depuis leur domicile, entre autres utilisations.
“Ces capacités sont révélatrices d’un espionnage mené par un acteur sophistiqué et doté de ressources suffisantes, parrainé par l’État”, indique l’avis.
Les agences ont noté que la campagne était sophistiquée et utilisait « plusieurs niveaux de techniques nouvelles.
Le Centre de la sécurité des télécommunications (CST) du Canada, l’agence gouvernementale responsable de la sécurité de l’information, a déclaré à CTV News qu’il était trop tôt pour déterminer quel État, le cas échéant, était derrière l’attaque.
“Il est important que le Canada et ses partenaires se défendent contre toutes les menaces, qu’elles soient attribuées ou non”, a écrit un porte-parole.
Claudiu Popa, PDG de Datarisk Canada, a déclaré que le gouvernement canadien était historiquement un consommateur de Cisco et a souligné que l’entreprise était l’un des plus grands fournisseurs d’équipements de réseau.
“C’est une préoccupation majeure non seulement pour le Canada, mais pour tous les pays du monde et leurs gouvernements”, a déclaré Popa, ajoutant que les attaquants ne semblent pas avoir pour mission d’utiliser des ransomwares ou de la cyber-extorsion.
“Les attaquants recherchent spécifiquement des informations”, a-t-il expliqué.
Selon Cisco, un client a alerté l’entreprise pour la première fois d’une menace possible début 2024, mais son enquête a découvert une « infrastructure contrôlée par des acteurs » remontant à début novembre 2023, et la plupart des activités ont eu lieu entre décembre 2023 et début janvier 2024. Cisco a trouvé des méthodes. étaient testés début juillet 2023.
Calvin Engen, directeur de la technologie de F12.net, a déclaré que chaque appareil Cisco ASA (Adaptive Security Appliance) est compromis. Malgré la publication de correctifs pour s’en protéger, un acteur a peut-être déjà eu accès à l’appareil, a déclaré Engen.
« Ils pourraient éventuellement avoir ce qu’on appelle une « porte dérobée » qui pourrait leur permettre de rester au sein de leur organisation. Il est donc primordial que toutes les organisations qui disposent de ces appareils la franchissent correctement et valident qu’elles n’ont pas d’acteur menaçant persistant dans leur organisation. leur environnement”, a-t-il déclaré.
Le commissaire à la protection de la vie privée du Canada enquête sur une violation de données à Affaires mondiales Canada impliquant une cyberattaque sur un réseau interne signalée plus tôt en 2024.
Les renseignements personnels des utilisateurs, y compris des employés, ont été compromis lorsque des personnes non autorisées ont accédé aux réseaux privés virtuels du ministère.
CTV News a contacté Affaires mondiales Canada pour lui demander s’il était affecté par l’attaque de Cisco.
«Le gouvernement du Canada est quotidiennement confronté à des cyber-risques et menaces continus et persistants et prend les mesures appropriées pour protéger ses systèmes et atténuer ces menaces», a déclaré un porte-parole à CTV News dans un courriel.
« Compte tenu de son profil, Affaires mondiales Canada a mis en place une surveillance de sécurité très proactive et prend très au sérieux la cybersécurité et les incidents de ce type », a poursuivi le porte-parole, ajoutant que l’agence n’était pas en mesure de commenter davantage pour des « raisons opérationnelles ».
“Je pense que pour les Canadiens, la chose la plus intéressante… c’est que nous saurons un jour quel pays était derrière cette attaque particulière ? Et cela nous dira quelque chose”, a déclaré David Shipley, PDG de Beauceron Security. “Et que le gouvernement attribue ou non officiellement cette attaque nous dira autre chose. Ce sont toutes des choses vraiment compliquées.”
L’entreprise technologique a publié des mises à jour logicielles pour remédier aux vulnérabilités exploitées, « ainsi que des instructions claires pour permettre aux clients de détecter les compromissions potentielles, de mettre à niveau et de restaurer l’intégrité des appareils compromis exécutant le logiciel ASA ou FTD (Firepower Threat Defence) », a déclaré un porte-parole de Cisco. a déclaré à CTV News.
Le porte-parole a déclaré que les utilisateurs peuvent être assurés que l’entreprise a l’habitude de gagner la confiance de ses clients grâce à son engagement et à sa transparence lorsqu’elle est confrontée à des problèmes avec ses produits.
