Microsoft, nouvelle victime de Solarwinds, la Cisa admet un “risque grave” pour les Etats-Unis

Spread the love
  • Yum

Les Etats-Unis viennent de se rendre compte qu’ils sont sous le feu d’une attaque informatique d’une extrême gravité… depuis mars dernier. La cyberattaque qui frappe plusieurs ministères représente un “risque grave” et les mesures pour la contrecarrer seront “extrêmement complexes et difficiles”, a prévenu jeudi l’agence américaine en charge de la cybersécurité et de la sécurité des infrastructures (Cisa).

La Cisa a indiqué avoir “déterminé que cette menace représentait un risque grave pour le gouvernement fédéral et les administrations locales (…) ainsi que pour les infrastructures essentielles et le secteur privé”. L’agence ne désigne pas les auteurs de cette attaque. Elle précise toutefois qu’il s’agit d’un “adversaire patient, concentré et aux ressources financières importantes qui a mené des activités pendant une longue période sur les réseaux victimes”.

Ses experts estiment “qu’extraire les pirates des environnements compromis sera extrêmement complexe et difficile pour les organisations” concernées, notant que “SolarWinds n’est pas le seul vecteur” utilisé par les auteurs de cette intrusion. Microsoft a déclaré avoir identifié plus de 40 de ses clients qui ont installé des versions trojanisées de la plateforme SolarWinds Orion. C’est cette plateforme qui a été utilisée par les pirates pour poursuivre leur attaques sur les cibles préalablement identifiées.

publicité

Pour l’heure, les potentielles victimes françaises de Solarwinds ne sont pas connues

Le fabricant de Windows a déclaré avoir pu découvrir ces intrusions en utilisant les données recueillies par le produit antivirus Microsoft Defender, un antivirus gratuit intégré dans toutes les installations de Windows.

Le président de Microsoft, Brad Smith, a déclaré que son entreprise est en train de notifier toutes les organisations concernées, dont 80 % sont situées aux États-Unis, le reste étant réparti dans sept autres pays, à savoir le Canada, le Mexique, la Belgique, l’Espagne, le Royaume-Uni, Israël et les Émirats arabes unis. A noter que pour l’heure des potentielles victimes françaises ne sont pas connues.

Alors que la liste des victimes connues du piratage de SolarWinds comprend principalement des agences gouvernementales américaines, M. Smith a déclaré que le secteur gouvernemental ne représente qu’une petite partie de la liste des victimes. 44 % sont des sociétés informatiques, selon Microsoft, telles que des sociétés de logiciels et des fournisseurs d’équipement.

microsoft-sw-data.jpg

Image : Microsoft

L’attaque est toujours en cours selon Microsoft

Le président de Microsoft a également déclaré que l’attaque est en cours, les pirates informatiques essayant toujours de compromettre de nouvelles entreprises, bien que l’incident soit public et fasse l’objet d’une enquête. “Il est certain que le nombre et la localisation des victimes ne cesseront de croître”.

La plus récente des victimes de cette liste est Microsoft lui-même. Quelques heures avant l’analyse de Smith, l’entreprise a admis avoir installé une version trojanisée de l’application SolarWinds dans sa propre infrastructure. Reuters rapporte que les pirates informatiques ont accédé au réseau interne de Microsoft, mais Microsoft a nié qu’ils aient pu atteindre les systèmes de production et avoir un impact sur ses clients commerciaux et les utilisateurs finaux.

Reste que les pirates ont utilisé l’un des produits de Microsoft pour lancer des attaques contre d’autres entreprises, selon Reuters, sans que l’on sache de quel produit exact il s’agit. Cette nouvelle fait suite à la publication par la CISA d’une alerte concernant l’attaque de SolarWinds et son impact. La CISA a déclaré avoir “des preuves de l’existence de vecteurs d’accès initial supplémentaires, autres que la plateforme SolarWinds Orion”.

Microsoft rejoint donc une liste d’entités très en vue qui ont été piraté. La grande majorité de ces victimes sont des agences gouvernementales américaines :

  • Le département du Trésor américain
  • L’Administration nationale des télécommunications et de l’information (NTIA) du ministère américain du commerce
  • Les instituts nationaux de la santé (NIH) du ministère de la santé
  • L’Agence de la cybersécurité et des infrastructures (CISA)
  • Le Département de la sécurité intérieure (DHS)
  • Le Département d’État américain
  • L’Administration nationale de la sécurité nucléaire (NNSA) (aussi divulgué aujourd’hui)
  • Le ministère américain de l’énergie (DOE) (aussi divulgué aujourd’hui)
  • Trois États américains (aussi divulgué aujourd’hui)
  • Ville d’Austin (aussi divulgué aujourd’hui)

La seule autre entreprise privée qui a reconnu avoir été piratée via la plate-forme SolarWinds, infestée de logiciels malveillants, est la société de cybersécurité FireEye. FireEye et Microsoft ont été les premières entreprises à confirmer le piratage de SolarWinds dimanche, toutes deux fournissant des rapports détaillés sur la façon dont la brèche s’est produite.

Microsoft pose un kill switch sur le site utilisé pour l’attaque

Reste que six jours après sa découverte, l’ampleur du piratage de SolarWinds continue de croître. L’incident a commencé la semaine dernière lorsque la société de sécurité FireEye a déclaré qu’un groupe de pirates informatiques parrainé par un État avait accédé à son réseau interne, volé des outils de pen test et essayé d’accéder à des documents sur ses contrats gouvernementaux.

En enquêtant sur l’attaque, FireEye a retracé l’intrusion jusqu’à une version de SolarWinds Orion, un outil de surveillance réseau utilisé au sein des grands réseaux d’entreprise. Notifié par FireEye, SolarWinds a admis dimanche dernier s’être fait pirater, révélant que plusieurs mises à jour de l’application Orion publiées entre mars et juin contenaient un cheval de Troie.

Le lendemain, SolarWinds admettait qu’environ 18 000 clients avaient installé les mises à jour piratées. Cela a déclenché une recherche massive d’actes de piratages au sein des réseaux d’entreprise, les DSI cherchant à savoir s’ils avaient installé la version de l’application Orion incriminée et si les charges utiles des logiciels malveillants de deuxième niveau étaient utilisées pour intensifier les attaques.

La tâche s’est avérée lourde et difficile, car le malware, nommé SUNBURST, ou Solorigate, a une conception découplée entre les charges utiles de la première et de la deuxième phase. Cela rend difficile la détermination des systèmes auxquels les pirates ont accédé et le leur nombre.

Néanmoins, mercredi, Microsoft a pris des mesures pour protéger les utilisateurs et a saisi le domaine web que le malware SUNBURST utilisait. En collaboration avec GoDaddy et FireEye, Microsoft a transformé le domaine en kill switch afin d’empêcher le malware SUNBURST de renvoyer des messages à ses créateurs et de télécharger les données utiles pour l’attaque de deuxième niveau.

Microsoft plus prudent sur l’attribution que les politiques américains

Mais les entreprises qui avaient déjà été infectées avant la mise en place de ce coupe-circuit doivent maintenant trouver les outils d’attaque implantés dans leur réseau. Si Selon M. Smith, ce nombre est actuellement d’environ 40, mais il augmentera très probablement à mesure que les enquêteurs en apprendront davantage sur ces charges utiles de deuxième étape, dont certaines ont été identifiées par Symantec sous le nom de Teardrop.

Voici une carte montrant la répartition actuelle des systèmes infectés par le malware SUNBURST de premier stade, selon la télémétrie de Microsoft Defender.

microsoft-sw-map.jpg

Image : Microsoft

Smith, qui a souvent demandé aux gouvernements de cesser d’attaquer le secteur privé dans le cadre de leurs opérations de cyber-espionnage, n’a pas attribué l’attaque à un pays en particulier, mais a critiqué les attaquants. “Ce n’est pas de l’espionnage comme d’habitude, même à l’ère du numérique”, a déclaré M. Smith. “Il s’agit plutôt d’un acte d’imprudence qui a créé une grave vulnérabilité technologique”.

“Il ne s’agit pas seulement d’une attaque contre des cibles spécifiques, mais contre la confiance et la fiabilité des infrastructures critiques dans le monde entier afin de faire progresser l’agence de renseignement d’un Etat”. M. Smith a appelé à des règles internationales plus strictes pour traiter avec les pays qui mènent de telles attaques imprudentes.

Le Washington Post affirme que le groupe de pirate russe APT29 est derrière le piratage de SolarWinds. APT29 a été précédemment lié par les agences de renseignement américaines et estoniennes au Service russe de renseignement extérieur (SVR).Les politiques américain eux aussi prennent moins de gants que Microsoft pour attribuer l’attaque.

Le président élu Joe Biden s’est déclaré “très préoccupé” par l’affaire, et le sénateur républicain Mitt Romney a montré la Russie du doigt tout en dénonçant le “silence inexcusable” de la Maison Blanche sur cette affaire. “Il y a encore beaucoup de choses que nous ne savons pas, mais ce que nous savons est très préoccupant”, a t-il indiqué.

“Mon administration fera de la cybersécurité une priorité à tous les niveaux du gouvernement et nous ferons de la réponse à cette cyberattaque une priorité dès notre prise de fonctions”, a-t-il assuré, prévenant que les Etats-Unis imposeraient “des coûts conséquents aux responsables de ces attaques malveillantes”.

L’attaque a débuté en mars dernier, selon les derniers éléments fournis par l’agence de cybersécurité des Etats-Unis. Les pirates ont profité d’une mise à jour d’un logiciel de surveillance développé par l’entreprise texane SolarWinds, utilisé par des dizaines de milliers d’entreprises et d’administrations dans le monde, pour passer à l’attaque.

Leave a Reply

%d bloggers like this: