Morgan Stanley a subi une violation de données qui a exposé des données client sensibles, et il est devenu la dernière victime connue de pirates informatiques exploitant une série de vulnérabilités désormais corrigées dans Accellion FTA, un service de transfert de fichiers tiers largement utilisé.

Les données obtenues comprenaient des noms, des adresses, des dates de naissance, des numéros de sécurité sociale et des noms de sociétés affiliées, a déclaré Morgan Stanley dans un lettre signalé pour la première fois par Ordinateur qui bipe. Un service tiers appelé Guidehouse, qui fournit des services de tenue de compte à la société de services financiers, était en possession des données à l’époque. Des pirates informatiques inconnus ont obtenu les données en exploitant un série de hacks qui a vu le jour en décembre et janvier.

Qu’est-ce qui a pris si longtemps ?

Morgan Stanley a déclaré :

Selon Guidehouse, la vulnérabilité Accellion FTA qui a conduit à cet incident a été corrigée en janvier 2021, dans les 5 jours suivant la disponibilité du correctif. Bien que les données aient été obtenues par la personne non autorisée à cette époque, le fournisseur n’a découvert l’attaque qu’en mars 2021 et n’a découvert l’impact sur Morgan Stanley qu’en mai 2021, en raison de la difficulté à déterminer rétroactivement quels fichiers étaient stockés dans l’appliance Accellion FTA lorsque l’appliance était vulnérable. Guidehouse a informé Morgan Stanley qu’il n’avait trouvé aucune preuve que les données de Morgan Stanley aient été diffusées au-delà de l’acteur menaçant.

Les représentants de Guidehouse n’ont pas immédiatement répondu à un e-mail demandant pourquoi l’entreprise a mis autant de temps à découvrir la violation, à informer les clients et à découvrir si d’autres clients de Guidehouse ont également été compromis. Ce message sera mis à jour si une réponse arrive après la publication.

Les clients Accellion utilisent l’appliance de transfert de fichiers comme alternative sécurisée à la messagerie électronique pour l’envoi de fichiers de données volumineux. Au lieu de recevoir une pièce jointe, les destinataires des e-mails reçoivent des liens vers des fichiers hébergés sur le FTA, qui peuvent ensuite être téléchargés. Bien que le produit ait presque 20 ans et qu’Accellion ait fait passer ses clients à un produit plus récent, l’ancien FTA est toujours utilisé par des centaines d’organisations dans les secteurs de la finance, du gouvernement et des assurances.

Cl1p Cl0p

Selon recherche Accellion mandaté par la société de sécurité Mandiant, des pirates informatiques inconnus ont exploité les vulnérabilités pour installer un shell Web qui leur a donné une interface textuelle pour installer des logiciels malveillants et émettre d’autres commandes sur les réseaux compromis. Mandiant a également déclaré que de nombreuses organisations piratées ont par la suite reçu des demandes d’extorsion menaçant de publier des données volées sur un site Web sombre affilié au groupe de ransomware Cl0p à moins qu’elles ne paient une rançon.

La première activité détectée dans la campagne de piratage a eu lieu à la mi-décembre lorsque Mandiant a identifié les pirates exploitant une vulnérabilité d’injection SQL dans Accellion FTA. L’exploit a servi de point d’intrusion initial. Au fil du temps, les attaquants ont exploité des vulnérabilités FTA supplémentaires pour obtenir suffisamment de contrôle pour installer le shell Web.

Les chercheurs de Mandiant ont écrit :

À la mi-décembre 2020, Mandiant a répondu à plusieurs incidents dans lesquels un shell Web que nous appelons DEWMODE a été utilisé pour exfiltrer les données des appareils Accellion FTA. L’appareil Accellion FTA est une application spécialement conçue pour permettre à une entreprise de transférer en toute sécurité des fichiers volumineux. L’activité d’exfiltration a affecté des entités dans un large éventail de secteurs et de pays.

Au cours de ces incidents, Mandiant a observé une utilisation courante de l’infrastructure et des TTP, y compris l’exploitation de périphériques FTA pour déployer le shell Web DEWMODE. Mandiant a déterminé qu’un acteur de menace commun que nous suivons maintenant comme UNC2546 était responsable de cette activité. Alors que les détails complets des vulnérabilités exploitées pour installer DEWMODE sont toujours en cours d’analyse, les preuves provenant de plusieurs enquêtes de clients ont montré de multiples points communs dans les activités de l’UNC2546.

D’autres organisations que les chercheurs soupçonnent d’avoir été violées par les vulnérabilités comprennent la compagnie pétrolière Shell, la société de sécurité Qualys, le détaillant d’essence RaceTrac Petroleum, le cabinet d’avocats international Jones Day, le vérificateur de l’État de Washington, la banque américaine Flagstar, les universités américaines Stanford et l’Université de Californie, et le Banque de réserve de Nouvelle-Zélande.

Le mois dernier, les autorités ukrainiennes ont arrêté six affiliés présumés de Cl0p. Une semaine plus tard, le site Web sombre utilisé pour publier des données volées via le ransomware Cl0p a publié de nouvelles tranches, démontrant qu’un groupe de membres de base restait actif.

Pas d’avertissement préalable

Les exploits dans la nature des vulnérabilités FTA ont été détectés pour la première fois fin décembre. L’entreprise a d’abord dit qu’il avait notifié tous les clients concernés et corrigé les vulnérabilités zero-day qui ont permis l’attaque dans les 72 heures suivant leur connaissance. Plus tard, Mandiant a découvert deux zéro-jours supplémentaires.

Certains clients se sont plaints dans le passé qu’Accellion était lent à fournir des notifications sur les vulnérabilités attaquées.

« Nous dépendions trop d’Accellion – le fournisseur de l’application de transfert de fichiers (FTA) – pour nous alerter de toute vulnérabilité dans leur système », a déclaré des responsables de la Banque de réserve néo-zélandaise. mentionné en mai. « Dans ce cas, les notifications qu’ils nous ont adressées n’ont pas quitté leur système et n’ont donc pas atteint la Banque de réserve avant la violation. Nous n’avons reçu aucun avertissement préalable.

Dans un communiqué, les représentants de Morgan Stanley ont écrit : « La protection des données des clients est de la plus haute importance et c’est quelque chose que nous prenons très au sérieux. Nous sommes en contact étroit avec Guidehouse et prenons des mesures pour atténuer les risques potentiels pour les clients.