Microsoft et FireEye confirment la cyberattaque de SolarWinds
FireEye a révélé aujourd’hui que des pirates informatiques, qui agiraient pour le compte d’un gouvernement étranger, ont ouvert une brèche dans le système du fournisseur de logiciels SolarWinds, leur permettant ensuite de déployer une mise à jour de son logiciel Orion pour infecter les réseaux de plusieurs entreprises et organisations gouvernementales des Etats-Unis.
Les déclarations de FireEye font suite aux articles de dimanche, publiés par Reuters, du le Washington Post et le Wall Street Journal, sur des intrusions au Département du Trésor américain et à l’Administration nationale des télécommunications et de l’information (NTIA) du département du Commerce américain.
L’attaque de la chaîne d’approvisionnement de SolarWinds a également permis aux pirates d’accéder au réseau de FireEye, ce que la société de cybersécurité révélait la semaine dernière.
Des soupçons sur APT29
D’après le Washington Post, plusieurs sources affirment que d’autres agences gouvernementales ont également été touchées. Selon Reuters, l’incident a été jugé si grave qu’il a conduit à une réunion du Conseil national de sécurité des Etats-Unis à la Maison blanche samedi – et ces réunions sont très rares.
Les sources du Washington Post mentionnent que l’intrusion serait liée à APT29, un nom de code utilisé par l’industrie de la cybersécurité pour décrire des pirates associés aux services russes de renseignement extérieur (SVR).
FireEye n’a pas voulu confirmer cette information. Au lieu de ça, l’entreprise a donné au groupe un nom de code neutre, UNC2452. Malgré tout, plusieurs sources de la communauté de la cybersécurité ont confirmé à ZDNet que les soupçons du gouvernement américain sur APT29 semblent se confirmer, sur la base des preuves actuelles.
Microsoft a également confirmé que SolarWinds était compromis, lorsque la société a envoyé des alertes de sécurité privées à ses clients dimanche, fournissant notamment des contre-mesures aux clients qui auraient pu être affectés.
Le malware SUNBURST a été déployé via des mises à jour d’Orion
SolarWinds a publié ce dimanche un communiqué de presse reconnaissant la violation de Orion, une plateforme logicielle de surveillance et de gestion centralisée, généralement utilisée dans les grands réseaux pour garder une trace de toutes les ressources informatiques, comme les serveurs, les stations de travail, les mobiles et les dispositifs IoT. La société de logiciels précise que les mises à jour d’Orion comprises entre 2019.4 à 2020.2.1, publiées entre mars 2020 et juin 2020, sont contaminées par des malwares.
FireEye a nommé ce malware SUNBURST. L’entreprise de cybersécurité a publié un rapport technique plus tôt dans la journée, ainsi que des règles de détection sur GitHub.
Microsoft a de son côté nommé le malware Solorigate, et a également ajouté des règles de détection à son antivirus Defender :
<
p align=”center”>
Image : Microsoft.
Une campagne largement répandue
Pour l’heure, le nombre de victimes n’a pas été communiqué. Malgré ce que semblaient énoncer les premières enquêtes publiées ce dimanche, la campagne de piratage semble s’étendre au-delà des Etats-Unis.
« La campagne est très répandue et touche des organisations publiques et privées du monde entier », avertit FireEye. « Parmi les victimes, on compte des administrations, des consultants, des entreprises de technologie et de télécommunications en Amérique du Nord, en Europe, en Asie et au Moyen-Orient. D’autres victimes sont à prévoir, dans d’autres pays et d’autres secteurs », ajoute la société.
SolarWinds prévoit de publier une nouvelle mise à jour (2020.2.1 HF 2) mardi 15 décembre, afin de « remplacer le composant compromis et apporter plusieurs améliorations supplémentaires en matière de sécurité ».
Mise à jour : Dimanche à 23h45, ET (lundi à 5h45, heure française) – ajout des informations concernant les alertes de sécurité de Microsoft.
Source : ZDNet.com
