Clés Kaseya : Les choix du FBI font débat
La semaine dernière, le Washington Post a rapporté que le FBI disposait des clés de déchiffrement pour les victimes de la vaste attaque par ransomware de Kaseya qui a eu lieu en juillet, mais ne les a pas communiquées pendant trois semaines.
Des centaines d’organisations ont été touchées par l’attaque de Kaseya, dont des dizaines d’hôpitaux, d’écoles, d’entreprises et même une chaîne de supermarchés en Suède.
Les journalistes du Washington Post Ellen Nakashima et Rachel Lerman ont écrit cette semaine que le FBI a réussi à obtenir les clés de déchiffrement en accédant aux serveurs de REvil, le groupe criminel basé en Russie à l’origine de l’attaque.
REvil avait demandé une rançon de 70 millions de dollars à Kaseya et des milliers de dollars à des victimes individuelles avant de disparaître et de fermer des parties importantes de son infrastructure peu après l’attaque. Le groupe est revenu depuis, mais de nombreuses organisations peinent encore à se remettre de l’attaque de grande envergure du 4 juillet.
Choix délicat
Malgré le grand nombre de victimes, le FBI a dans un premier temps choisi de ne pas partager les clés de déchiffrement. Les autorités ont décidé de les conserver en vue d’une attaque contre l’infrastructure de REvil. Selon le Washington Post, le FBI ne voulait pas mettre la puce à l’oreille des opérateurs de REvil en révélant qu’ils possedaient les clés.
Le FBI a également estimé que “le préjudice n’était pas aussi grave que ce que l’on craignait initialement”, selon le Washington Post.
L’attaque du FBI contre REvil n’a jamais eu lieu en raison de la disparition prématurée de REvil, ont déclaré des responsables au journal. Le FBI a finalement partagé les clés de déchiffrement avec Kaseya le 21 juillet, plusieurs semaines après l’attaque. De multiples victimes ont parlé au Washington Post des millions perdus et des dommages importants causés par les attaques.
Une autre source des forces de l’ordre a finalement partagé les clés avec Bitdefender, qui a publié un outil de dechiffrement au début du mois pour toutes les victimes infectées avant le 13 juillet 2021. Plus de 265 victimes de REvil ont utilisé cet outil, a déclaré un représentant de Bitdefender au Washington Post.
Au cours de son témoignage devant le Congrès mardi, le directeur du FBI, Christopher Wray, a rejeté la responsabilité du retard sur d’autres organismes des forces de l’ordre et alliés qui, selon lui, leur ont demandé de ne pas diffuser les clés. Il a déclaré qu’il était limité dans ce qu’il pouvait partager sur la situation car l’enquête est toujours en cours.
“Nous prenons les décisions en tant que groupe, pas de manière unilatérale. Il s’agit de décisions complexes, conçues pour avoir un impact maximal, et cela prend du temps lorsqu’il s’agit de lutter contre des adversaires et de mobiliser des ressources non seulement dans tout le pays, mais aussi dans le monde entier. Il faut beaucoup d’ingénierie pour développer un outil”, a déclaré M. Wray au Congrès.
Débats dans le secteur privé
Cette révélation a suscité un débat considérable parmi les experts en sécurité. Beaucoup ont défendu la décision du FBI de laisser les victimes se débattre pendant des semaines pour se remettre de l’attaque.
Mike Hamilton, RSSI de Critical Insight, a déclaré que la prudence dans la divulgation est un élément essentiel des communautés des forces de l’ordre et du renseignement.
“Il y a cependant un indice, que nous avons confirmé nous-mêmes. Le FBI aurait déclaré que les dégâts n’étaient pas aussi importants qu’il le pensait et qu’il disposait d’un peu de temps pour travailler. Cela s’explique par le fait que l’événement n’était pas une infiltration typique, suivie d’un pivotement à travers le réseau pour trouver les ressources clés et les sauvegardes. D’après toutes les indications, les seuls serveurs qui ont été chiffrés par le ransomware étaient ceux sur lesquels l’agent Kaseya était installé ; il s’agissait d’une attaque de type “smash-and-grab””, explique M. Hamilton.
“Si Kaseya avait été déployé sur un seul serveur utilisé pour afficher le menu de la cafétéria, il était possible de le reconstruire rapidement et d’oublier l’incident. L’impact finalement assez limité a permis de prolonger l’enquête portant sur le groupe à l’origine de l’attaque, probablement dans le but ultime d’identifier les criminels. Les organisations qui ont été durement touchées avaient déployé l’agent sur les contrôleurs de domaine sur site, les serveurs Exchange, les systèmes de facturation des clients, etc.”
Sean Nikkel, analyste principal sur les menaces chez Digital Shadows, a déclaré que le FBI a peut-être considéré que la nécessité d’empêcher ou de mettre un terme aux opérations de REvil l’emportait sur celle de sauver un groupe plus restreint d’entreprises en proie à une seule attaque.
En raison de l’ampleur croissante des attaques de REvil et de ses demandes d’extorsion,la situation nécessitait une réponse tout aussi rapide a probablement pris le pas sur une réponse plus mesurée aux victimes de Kaseya, a expliqué Nikkel. Il rappelle qu’il est facile de juger la décision maintenant que nous disposons de plus d’informations, mais que cela a dû être une décision difficile à prendre à l’époque.
“Tendre discrètement la main aux victimes aurait peut-être été une mesure prudente, mais les attaquants voyant les victimes déchiffrer des fichiers ou abandonner les négociations en masse aurait peut-être révélé le stratagème du FBI”, a déclaré Nikkel à ZDNet.
“Les attaquants auraient alors peut-être mis hors service des infrastructures ou changé de tactique. Il y a aussi le problème posé par de possibles echos de ce déchiffrement dans les médias, ce qui aurait également pu mettre la puce à l’oreille des attaquants. Les groupes criminels prêtent attention aux informations du secteur de la sécurité autant que les chercheurs, souvent avec leur propre présence sur les médias sociaux.”
M. Nikkel a suggéré qu’une meilleure approche aurait pu être d’ouvrir des canaux de communication avec les entreprises de réponse aux incidents concernées afin de mieux coordonner les ressources et la réponse, mais il a noté que le FBI l’avait peut-être déjà fait.
Le sens des priorités
Jake Williams, directeur technique de BreachQuest, a qualifié la situation de cas classique d’évaluation des risques.
Comme M. Nikkel, il a déclaré qu’il était facile pour les gens de jouer aux inspecteurs des travaux finis et de reprocher au FBI de ne pas avoir divulgué les clés après coup.
Mais M. Williams a fait remarquer que les dommages financiers directs étaient certainement plus importants que ne le pensait le FBI, qui a conservé la clé pour protéger son opération.
“La divulgation de la clé répondait à un besoin immédiat sans aborder la question plus large de la perturbation des futures opérations de ransomware. Tout compte fait, je pense que le FBI a pris la mauvaise décision en conservant la clé”, a déclaré M. Williams.
“Cependant, j’ai aussi l’avantage de pouvoir dire cela maintenant, après que la situation est derrière nous. Si une situation similaire se reproduit, je pense que le FBI remettra les clés à moins qu’une opération de perturbation soit imminente (dans quelques heures ou quelques jours). Les organisations n’étant pas tenues de signaler les attaques par ransomware, le FBI ne disposait pas du contexte complet nécessaire pour prendre la meilleure décision dans ce cas. Je m’attends à ce que cette affaire soit utilisée comme étude de cas pour justifier les exigences de déclaration des attaques.”
John Bambenek, principal chasseur de menaces chez Netenrich, a déclaré que les critiques doivent se rappeler qu’avant tout, le FBI est un organisme chargé de l’application de la loi qui agira toujours de manière à agir en ce sens.
“Bien que cela puisse être frustrant pour les entreprises qui auraient pu être aidées plus tôt, les operations de police prennent du temps et parfois les choses ne se passent pas comme prévu”, a déclaré Bambenek.
“Le bénéfice à long terme des opérations réussies de police est plus important que les victimes individuelles de ransomware.”
Source : “ZDNet.com”
