Figurant parmi les groupes de ransomware les plus actifs et reposant sur un modèle de RaaS (Ransomware-as-a-Service), LockBit a publié des données dérobées à Boeing. Elles représentent entre 40 et 50 Go de fichiers.

Selon BleepingComputer, ces fichiers comprennent des sauvegardes de configuration de solutions de gestion informatique, des logs (journaux) d'outils de surveillance et d'audit. La présence de sauvegardes en rapport avec des appareils Citrix laisse en outre supposer l'exploitation de la vulnérabilité dite Citrix Bleed qui affectait les produits NetScaler ADC et NetScaler Gateway.

La vulnérabilité de sécurité CVE-2023-4966 permet une divulgation d'informations sensibles, y compris concernant le token d'authentification d'une session. Elle a fait l'objet d'un avis de sécurité de Citrix le 10 octobre. L'éditeur a ensuite évoqué une exploitation active le 17 octobre, mais des exploitations actives pourraient remonter à fin août. La faille a été divulguée publiquement le 24 octobre, puis des codes d'exploitation ont fait leur apparition sur internet.

Du va-et-vient sur le site de LockBit

Début novembre, Boeing avait confirmé un incident de cybersécurité. " Nous enquêtons activement sur l'incident et nous coordonnons nos efforts avec les forces de l'ordre et les autorités réglementaires. Nous informons nos clients et nos fournisseurs ", avait déclaré le géant américain de l'aéronautique et aérospatial à Reuters.

En soulignant qu'il n'y avait aucun impact sur la sécurité des vols, Boeing avait précisé un incident pour son activité de pièces détachées et de distribution via sa division Global Services. C'est fin octobre que LockBit avait revendiqué une cyberattaque contre Boeing et l'exfiltration d'une grande quantité de données sensibles.

boeing-revendication-lockbit

Sur son site en .onion servant d'affichage pour la liste de ses victimes, le groupe LockBit avait menacé Boeing de publier les données dérobées le 2 novembre. Avant la fin de cet ultimatum, le nom de Boeing avait toutefois été retiré du site de LockBit, ce qui laissait présager des négociations en cours.

Un échec des négociations ?

Le 7 novembre, le nom de Boeing a fait son retour sur le site de LockBit. Aux dires des cybercriminels, leurs avertissements ont été ignorés. C'est le 10 novembre que les données volées à Boeing par LockBit ont commencé à être publiées.

lockbit-boeing-publication-donnees-volees

Le flou persiste pour savoir si des négociations entre LockBit et Boeing ont effectivement eu lieu, ou si les données volées sont véritablement sensibles. Pour le moment, le commentaire public de Boeing est de même teneur que précédemment (Reuters).

" Dans le cadre de l'incident de cybersécurité, un groupe de ransomware a publié des informations qu'il prétend avoir extraites de nos systèmes. […] Nous demeurons persuadés que cet incident ne constitue pas une menace pour la sécurité des avions ou des vols. "