La démarche, qui consiste à envoyer des courriels visant à détourner des accès vers des services pour inciter les internautes à utiliser leurs identifiants sur ces derniers, visait ici les employés de l'ICANN. Certains se sont fait piéger et ont donné aux pirates des accès à certains comptes de messagerie de l'entreprise.
« Début décembre 2014, nous avons découvert que les mots de passe exfiltrés avaient été utilisés pour accéder à d'autres systèmes de l'ICANN en plus de la messagerie » explique l'ICANN dans un communiqué. « L'attaquant a obtenu l'accès avec droits d'administrateur à tous les fichiers du CZDS. Cela inclut des copies des fichiers de zone du système, ainsi que des informations saisies par les utilisateurs tels que leur nom, leur adresse postale, leur adresse de courrier électronique, leur numéro de téléphone ou de fax, leur nom d'utilisateur et leur mot de passe. »
Les mots de passe du service centralisé de données de zone (CZDS) étaient chiffrés, mais l'ICANN a cependant pris l'initiative de désactiver temporairement les accès des utilisateurs touchés, jusqu'à ce que ces derniers modifient leurs accès via l'adresse czds.icann.org. Des mails ont été envoyés aux personnes concernées.
D'autres accès ont été dérobés, notamment des mots de passe pour certaines pages du Wiki de l'ICANN, les identifiants de son blog ou l'accès à son service de WHOIS. « Les recherches menées à ce jour montrent qu'aucun autre système n'a été compromis. » Les systèmes en charge de l'attribution des IP n'ont pas été touchés.
« Nous suggérons aux utilisateurs CZDS de prendre des mesures appropriées pour protéger tout autre compte en ligne où ils auraient pu utiliser le même utilisateur et/ou mot de passe » ajoute l'ICANN, qui donnera plus d'informations concernant l'attaque lorsqu'elle en aura.
