Un responsable de l’ALMA nous donne de plus amples informations sur la cyberattaque dont le radiotélescope a été victime en octobre dernier. Il s’agit du rançongiciel Hive : « Heureusement, les équipes d’informaticiens ont été suffisamment rapides et préparées pour qu’on ne soit pas obligé de payer ».
Il y a quelques jours, nous étions revenus sur la cyberattaque du radiotélescope géant ALMA (Atacama Large Millimeter/submillimeter Array) de début octobre, entrainant une paralysie de 48 jours des observations scientifiques. Sans entrer dans tous les détails, rappelons seulement que, encore aujourd’hui, la situation n’est pas totalement revenue à la normale.
Il y avait de nombreuses zones de flou autour de cette cyberattaque. Afin d’avoir de plus amples informations, nous avions contacté l'Observatoire européen austral (ESO) et ALMA. Nicolás Lira Turpaud (Education & Public Outreach Coordinator pour l’observatoire de l’ALMA) nous a donné des précisions, notamment qu’il s’agit d’un rançongiciel bien connu qui a déjà largement fait parler de lui ces derniers mois.
Une demande de rançon qu’ALMA n’a pas payée
« Il s'agit d'une attaque ransomware […] Le motif de l'attaque est économique » avec une demande de rançon, nous explique-t-il. « Heureusement, les équipes d’informaticiens ont été suffisamment rapides et préparées pour qu’on ne soit pas obligé de payer ».
La cyberattaque a pour rappel été détectée dans la matinée du 29 octobre, « suffisamment vite pour éviter que les données et l’infrastructure scientifiques soient compromises. Malheureusement, les systèmes de communication ont été compromis, voire endommagés ».
Ces dégâts entrainent de fâcheuses conséquences : « Ceci nous a obligés à isoler tous les systèmes de manière préventive, reconstruire les réseaux et vérifier chaque système informatique, y compris ordinateurs et dispositifs de travail personnel ». Un travail de longue haleine.
Alors que revoilà Hive
Concernant l’identité des attaquants, Nicolás Lira Turpaud nous indique ne pas la connaitre, mais ajoute que « l'Agence de Cybersécurité Américaine [CISA ou Cybersecurity and Infrastructure Security Agency, ndlr] a émis une alerte à propos de ce même type d'attaques le 17 novembre », soit presque trois semaines après l'attaque dont a été victime le radiotélescope géant du Chili.
Cette alerte concernait « Hive Ransomware », un Rançongiciel as a Service (RaaS), c’est-a-dire proposé par des pirates à d’autres pirates via un système d’affiliation, qui a déjà fait beaucoup de dégâts. « En novembre 2022, les acteurs du ransomware Hive avaient attaqué plus de 1 300 entreprises dans le monde, recevant environ 100 millions de dollars américains en paiements de rançon, selon les informations du FBI », explique le CISA.
La Cybersecurity and Infrastructure Security Agency rappelle au passage que « les acteurs de Hive sont connus pour réinfecter – avec le ransomware Hive ou un autre – les réseaux de leurs victimes qui ont restauré leur réseau sans payer de rançon »… Ce n’est donc peut-être que le début d’une série d’attaques pour ALMA. Le CISA donne enfin une liste d’indicateurs de compromission.
Pour le reste, une enquête est en cours
Notre interlocuteur nous indique par contre ne pas pouvoir en dire davantage pour le moment, car « une enquête des autorités chiliennes est en cours ». Dont acte.
Enfin, comme nous l’avions déjà indiqué dans notre précédent article, « d'autres services et systèmes moins prioritaires mettront encore plusieurs semaines à être de nouveau actifs ». À l’heure actuelle, le site web n’est toujours pas revenu et la version provisoire est toujours en ligne.
