JumpCloud, une société de logiciels commerciaux basée aux États-Unis, a signalé une violation de données résultant d’une attaque sophistiquée de spear phishing orchestrée par un acteur de menace d’État-nation non identifié. L’attaquant a réussi à s’introduire sans autorisation dans les systèmes de JumpCloud, en concentrant ses activités illicites sur un petit groupe de clients spécifiques.

Le spear phishing est une attaque de phishing ciblée dans laquelle un attaquant se fait passer pour une source fiable afin d’envoyer des messages apparemment légitimes à une personne, une organisation ou une entreprise spécifique. Son objectif est d’extraire des informations confidentielles, d’encourager le téléchargement de logiciels malveillants ou de frauder financièrement la cible.

JumpCloud exploite une plateforme d’annuaire en tant que service basée sur le cloud, offrant un moyen sécurisé de gérer les identités, les appareils et les accès des utilisateurs sur différentes plateformes telles que VPN, Wi-Fi, serveurs et postes de travail.

Lire aussi : “Les chaînes Telegram complices de la diffusion de pédopornographie à partir de caméras Hikvision”.

Un acteur de la menace de type État-nation est défini comme un groupe parrainé par un gouvernement qui pénètre et compromet de manière illicite les réseaux d’autres gouvernements ou groupes industriels. Leur intention peut aller du vol d’informations à la détérioration ou à la modification de données.

Ces acteurs sont particulièrement connus pour leur capacité à masquer leurs activités, ce qui rend difficile de remonter jusqu’à leur pays d’origine. Ils utilisent souvent des “faux drapeaux” pour tromper les cyber-enquêteurs.

La société a identifié l’ activité malveillante le 27 juin. Bien qu’ils n’aient pas constaté d’impact direct à ce moment-là, ils ont rapidement pris des mesures de protection. Il s’agissait notamment de reconstruire l’infrastructure et de mettre en œuvre des mesures supplémentaires de sécurité du réseau et du périmètre. Ils ont également collaboré avec les partenaires de la réponse aux incidents (RI) pour l’analyse du système et ont contacté les forces de l’ordre pour un complément d’enquête.

Le 5 juillet, à 3h35 UTC, ils ont détecté d’autres activités inhabituelles au sein des structures de commandement. À ce stade, ils ont trouvé des preuves de l’impact sur les clients et ont travaillé en étroite collaboration avec les clients concernés pour renforcer leur sécurité.

En réponse à ces constatations, l’organisation a procédé à une rotation forcée de toutes les clés API d’administration à partir du 5 juillet à 23:11 UTC. Ils ont découvert que les attaquants avaient manipulé les données dans le cadre de la commande, en ciblant explicitement des clients spécifiques.

Cet événement a suscité une prise de conscience au sein de l’organisation, ce qui a conduit à l’élaboration et à la diffusion d’une liste d’IOC (Indicateurs de Compromis) associés à cette campagne.