L’opérateur de réseau mobile Orange Espagne a subi une panne d’Internet pendant plusieurs heures le 3 janvier après qu’un acteur malveillant ait utilisé les informations d’identification de l’administrateur capturées au moyen d’un malware voleur pour détourner le protocole de passerelle frontalière (BGP) trafic.
« Le compte Orange au centre de coordination du réseau IP (RIPE) a subi un accès abusif qui a affecté la navigation de certains de nos clients », indique l’entreprise. dit dans un message posté sur X (anciennement Twitter).
Cependant, la société a souligné qu’aucune donnée personnelle n’avait été compromise et que l’incident n’avait affecté que certains services de navigation.
L’acteur menaçant, qui s’appelle Ms_Snow_OwO sur X, revendiqué avoir accès au compte RIPE d’Orange Espagne. RIPE est un registre Internet régional (RIR) qui supervise l’attribution et l’enregistrement des adresses IP et des numéros de système autonome (AS) en Europe, en Asie centrale, en Russie et en Asie occidentale.
« En utilisant le compte volé, l’acteur malveillant a modifié le numéro AS appartenant à l’adresse IP d’Orange, entraînant des perturbations majeures pour Orange et une perte de trafic de 50% », a déclaré la société de cybersécurité Hudson Rock. dit.
Une analyse plus approfondie a révélé que l’adresse e-mail du compte administrateur est associée à l’ordinateur d’un employé d’Orange Espagne qui a été infiltré par le malware Raccoon Stealer le 4 septembre 2023.
On ne sait pas actuellement comment le voleur a réussi à atteindre le système de l’employé, mais ces familles de logiciels malveillants se propagent généralement via des publicités malveillantes ou des escroqueries par hameçonnage.
« Parmi les identifiants d’entreprise identifiés sur la machine, l’employé avait des identifiants spécifiques pour ‘https://access.ripe.net’ en utilisant l’adresse e-mail révélée par l’acteur malveillant ([email protected]) », a-t-il ajouté. société ajoutée.
Pire encore, le mot de passe utilisé pour sécuriser le compte administrateur RIPE d’Orange était « ripeadmin », ce qui est à la fois faible et facilement prévisible.
Le chercheur en sécurité Kevin Beaumont a en outre noté que RIPE n’impose ni l’authentification à deux facteurs (2FA) ni n’applique une politique de mot de passe forte pour ses comptes, ce qui le rend propice aux abus.
« Actuellement, les marchés d’infostealers vendent des milliers d’informations d’identification sur access.ripe.net, ce qui vous permet de répéter cela auprès des organisations et des FAI à travers l’Europe », Beaumont dit.
MÛR, qui est enquête actuellement pour voir si d’autres comptes ont été affectés de la même manière, il a déclaré qu’il contacterait directement les titulaires de comptes concernés. Il a également exhorté les utilisateurs du compte RIPE NCC Access à mettre à jour leurs mots de passe et à activer l’authentification multifacteur pour leurs comptes.
« À long terme, nous accélérons la mise en œuvre de 2FA pour la rendre obligatoire pour tous les comptes RIPE NCC Access dès que possible et pour introduire une variété de mécanismes de vérification », indique-t-il. ajoutée.
Cet incident met en évidence les conséquences des infections par infostealer, obligeant les organisations à prendre des mesures pour sécuriser leurs réseaux contre les vecteurs d’attaque initiaux connus.