Discussion :

[Stan Adkens]

Comment la confiance des agences US dans des logiciels non testés a ouvert la porte aux piratages,
Les autorités devraient fixer des exigences minimales de sécurité pour les logiciels et services

Un grand scandale de piratage continue d'envoyer des ondes de choc dans toute la communauté de la cybersécurité, soulevant des questions sur la nécessité d'une meilleure réglementation des fournisseurs tiers. Bien que l'étendue réelle du piratage n'ait pas encore été révélée, les pirates informatiques, dont le Secrétaire d’État Mike Pompeo a lié à la Russie, semblent s'être infiltrés dans de nombreuses agences fédérales, y compris le Département d'État, le DHS, le Département du Commerce et même l'Administration nationale de la sécurité nucléaire.

Pour mener à bien cette opération, les pirates ont d'abord pénétré dans les systèmes de SolarWinds, une société américaine de logiciels. Là, ils ont inséré une porte dérobée dans Orion, l'un des produits de la société largement utilisés par les organisations pour voir et gérer de vastes réseaux internes d'ordinateurs. Après avoir intégré le code malveillant dans le logiciel, il leur a suffi d'attendre que les agences téléchargent les mises à jour logicielles de routine du fournisseur de confiance.

Pendant plusieurs semaines à partir de mars, tout client qui se mettait à jour avec la dernière version d'Orion - signée numériquement par SolarWinds, et donc apparemment légitime - téléchargeait à son insu le logiciel compromis, donnant ainsi aux pirates un moyen de pénétrer dans leurs systèmes.

Selon rapport de Politico, les pirates ont pu exploiter une vulnérabilité logicielle pour pénétrer dans les infrastructures critiques des agences américaines parce que le gouvernement fédéral ne procède qu'à des inspections de sécurité superficielles des logiciels qu'il achète à des entreprises privées pour un large éventail d'activités, de la gestion de bases de données à l'exploitation d'applications de chat internes.

Alors que les enquêteurs s'affairent à évaluer les dommages causés par les piratages, les experts et les législateurs demandent un examen plus minutieux du code tiers que les agences gouvernementales autorisent sur leurs réseaux et exigent la correction d'une faiblesse connue depuis longtemps.

« Le gouvernement a désespérément besoin de fixer des exigences minimales de sécurité pour les logiciels et les services, et de refuser d'acheter tout ce qui ne répond pas à ces normes », a déclaré le sénateur démocrate Ron Wyden. « Il est incroyablement contre-productif pour les agences fédérales de dépenser des milliards pour la sécurité et de donner ensuite des contrats gouvernementaux à des entreprises avec des produits non sécurisés ».

Le gouvernement américain s'appuie sur des fournisseurs privés de toutes tailles pour fournir des logiciels à ses agences. Certains disposent d'équipes d'experts en sécurité, comme Amazon, qui fournit des services d'hébergement dans le Cloud, et SAP, dont les logiciels aident les agences à traiter de grandes quantités de données. Mais d'autres, grandes et petites, ont des procédures de test de sécurité moins rigoureuses et sont plus vulnérables à ce genre de compromis, d’après les cyberanalystes.

Jeudi, les enquêteurs fédéraux ont déclaré que le logiciel Orion de SolarWinds n'était pas le seul moyen utilisé par les pirates pour envahir leurs cibles, mettant en garde contre « d'autres vecteurs d'accès initial et des tactiques, techniques et procédures ... qui n'ont pas encore été découverts ». Et maintenant que les pirates ont eu des mois pour s'implanter dans les réseaux fédéraux, l'Agence de cybersécurité et de sécurité des infrastructures a averti que les supprimer « sera très complexe et difficile ».

Le piratage qui continue de révéler ses victimes publiques comme privées a poussé plusieurs à envisager de nouvelles procédures pour la création de meilleurs logiciels. Les professionnels techniques et les décideurs politiques affirment que de nouvelles approches en matière de développement et d'acquisition de logiciels pourraient au moins donner aux défenseurs une chance de se battre contre pareilles intrusions à l’avenir.

Les attaques contre les fournisseurs dans la chaîne d'approvisionnement des logiciels représentent un problème connu qui doit être traité en priorité, a déclaré le représentant démocrate Jim Langevin, cofondateur du Congressional Cybersecurity Caucus. « L'incident SolarWinds ... souligne que la sécurité de la chaîne d'approvisionnement est un sujet qui doit être au centre des préoccupations », a déclaré Langevin. Il a ajouté que le Congrès doit « inciter » les entreprises à rendre leurs logiciels plus sûrs, ce qui pourrait nécessiter des changements coûteux.

Comment les pirates informatiques russes ont infiltré le gouvernement américain pendant des mois sans être repérés

SolarWinds compte environ 300 000 clients dans le monde entier, dont la plupart des entreprises du Fortune 500, les principales agences fédérales US et de nombreux gouvernements. Dans un nouveau dépôt auprès de la Securities and Exchange Commission, la société a déclaré que « moins de » 18 000 organisations ont téléchargé la mise à jour compromise. Selon SolarWinds, on ne sait pas encore combien de ces systèmes ont été réellement piratés. La pratique standard en matière de cybersécurité est de garder son logiciel à jour - ainsi, la plupart des clients de SolarWinds, ironiquement, ont été protégés parce qu'ils n'avaient pas tenu compte de ce conseil.

Les pirates étaient « extrêmement intelligents et stratégiques », a expliqué Greg Touhill, ancien responsable fédéral de la sécurité de l'information. Même une fois qu'ils avaient obtenu l'accès par la porte dérobée dans Orion, connue sous le nom de Sunburst, ils se déplaçaient lentement et délibérément. Au lieu d'infiltrer plusieurs systèmes à la fois, ce qui aurait pu facilement éveiller des soupçons, ils se sont concentrés sur un petit ensemble de cibles sélectionnées, selon un rapport de la société de sécurité FireEye.

Sunburst est resté silencieux jusqu'à deux semaines entières avant de se réveiller et de commencer à communiquer avec les pirates, selon le rapport. Le malware déguise son trafic réseau en « programme d'amélioration d'Orion » et stocke des données dans des fichiers légitimes afin de mieux se fondre dans la masse. Il recherche également des outils de sécurité et d'antivirus sur la machine infectée afin de les éviter.

Pour dissimuler davantage leurs traces, les pirates ont pris soin d'utiliser les ordinateurs et les réseaux pour communiquer avec la porte dérobée d'une cible donnée une seule fois - l'équivalent de l'utilisation d'un téléphone jetable pour une conversation illicite, d’après MIT Technology Review. Ils ont fait un usage limité des logiciels malveillants, car ils sont relativement faciles à repérer ; au lieu de cela, une fois qu'ils ont eu un accès initial par la porte dérobée, ils ont eu tendance à opter pour la voie plus silencieuse consistant à utiliser de véritables identifiants volés pour accéder à distance aux machines d'une victime. De plus, les logiciels malveillants qu'ils ont déployés ne réutilisent pas le code, ce qui rend l'espionnage plus difficile à détecter, car les programmes de sécurité recherchent le code qui s'est manifesté lors des piratages précédents.

Les pirates informatiques, présumés issus du Service des renseignements extérieurs russe et connus alternativement sous les noms de Cozy Bear et APT29, ont compilé une longue liste d'infractions, dont le piratage du Comité national démocratique en 2016. La Russie a déjà nié toute implication.

« Cela leur a donné la possibilité de s'introduire par des moyens détournés dans les principaux réseaux », explique Touhill. « Ils ont la capacité de rester sur place, d'aspirer tout le trafic, de l'analyser. Nous devons être très attentifs à ce que ces acteurs recherchent d'autre ? Où d'autre peuvent-ils être ? Où d'autres peuvent-ils se cacher ? S'ils ont un accès, ils n'y renoncent pas facilement ».

Un piratage différent de tout ce que nous avons connu

Equifax, Sony Pictures et l'OPM sont tous des exemples de systèmes informatiques qui ont été spécifiquement visés par des intrus par le passé, mais ces derniers utilisaient des logiciels malveillants génériques plus répandus. Par exemple, pour pirater l'OPM, les intrus ont volé les références des entrepreneurs et ont enregistré le domaine opmsecurity.org afin que leurs connexions aux serveurs de l'OPM paraissent moins suspectes en provenance de cette adresse.

Cela signifie qu'il existait des sources très claires qui pouvaient être utilisées pour retracer l'étendue de l'incident après la violation. C’est-à-dire les enquêteurs peuvent déterminer ce que l’acteur, qui a utilisé ces informations d'identification volées, a installé ; les données qu’il a consultées via les domaines frauduleux. Cela signifiait également que les enquêteurs pouvaient être relativement sûrs que l'incident était confiné à un service ou à un système cible particulier et que l'effacement et la restauration de ces systèmes seraient suffisants pour éliminer la présence des intrus. Bien sûr, cela ne veut pas dire que le nettoyage de la brèche de l'OPM - ou de Sony Pictures ou Equifax - a été facile.

Les produits Orion de SolarWinds sont spécialement conçus pour surveiller les réseaux de systèmes et signaler tout problème de sécurité, de sorte qu'ils doivent avoir accès à tout, ce qui en fait un conduit parfait pour ce compromis.

Plus inquiétant encore est le fait que les attaquants ont apparemment utilisé leur accès initial aux organisations ciblées, telles que FireEye et Microsoft, pour voler des outils et du code qui leur permettraient ensuite de compromettre encore plus de cibles. Après que Microsoft ait réalisé qu'il avait été compromis via SolarWinds, il a ensuite découvert que ses propres produits étaient utilisés « pour favoriser les attaques contre d'autres », selon Reuters. Microsoft a déclaré après qu’il n’avait aucune preuve de l’utilisation de ses produits pour pénétrer dans les réseaux des cibles.

Cela signifie que les victimes potentielles ne sont pas seulement les 18 000 clients de SolarWinds qui ont pu télécharger les mises à jour compromises, mais aussi tous les clients de ces 18 000 organisations, et potentiellement les clients de ces organisations de second ordre également, etc. Les systèmes des secteurs public et privé pourraient continuer à être activement perturbés pendant l’année à venir par les logiciels malveillants qui ont été subrepticement inclus dans les mises à jour des produits SolarWinds Orion.

« Réarchitecturer l'entreprise fédérale archaïque » et déplacer plus d'applications vers le cloud

Selon Politico, les entreprises privées déploient régulièrement des logiciels présentant des bogues non découverts parce que les développeurs n'ont pas le temps, les compétences ou la motivation nécessaires pour les inspecter complètement. Et il peut être difficile pour les agences fédérales et les entreprises du Fortune 500 d'identifier les faiblesses lorsqu'elles ne comprennent pas la complexité de ce qu'elles achètent ou la façon dont il pourrait être défectueux.

« La sécurité n'est pas une considération importante ni même bien comprise », a déclaré Bryan Ware, ancien directeur adjoint de la CISA. « De nombreux directeurs de l'information ont acheté et déployé des logiciels SolarWinds sophistiqués, donc je ne m'interroge pas seulement sur le vendeur ».

Il n'existe pas d'inventaire central des agences gouvernementales qui utilisent tel ou tel logiciel dans tel ou tel bureau, ce qui explique en partie pourquoi il a fallu tant de temps aux agences pour déterminer si elles avaient été piratées.

« Le problème de premier ordre est toujours d'essayer de déployer nos armes autour de tous les applications et logiciels qui résident sur les 101 réseaux civils du pouvoir exécutif », a déclaré Matthew Travis, ancien directeur adjoint de la CISA. Travis a déploré l'approche décentralisée et a encouragé le Congrès à autoriser la CISA et l'OMB (Bureau de la gestion et du budget ) à « réarchitecturer l'entreprise fédérale archaïque » et à déplacer plus d'applications vers le cloud.

Les États-Unis ont investi massivement dans la détection des menaces ; un système de plusieurs milliards de dollars connu sous le nom d'Einstein patrouille les réseaux du gouvernement fédéral à la recherche de logiciels malveillants et d'indications d'attaques. Mais comme le montre un rapport détaillé du Government Accountability Office de 2018, Einstein n’est efficace que pour identifier les menaces connues. Une lacune que les pirates ont soigneusement exploitée en utilisant des serveurs qui n'étaient pas auparavant signalés comme malveillants.

Certains membres du Congrès sont prêts à agir. Dans une déclaration, le représentant Ted Lieu a déclaré qu'il « travaillait sur une législation visant à garantir que les fournisseurs qui font des affaires avec le gouvernement américain maintiennent une politique de divulgation de la vulnérabilité ». Mais pour certains, le Congrès devrait plutôt « étudier soigneusement les sanctions pour négligence » dans la conception des logiciels, a déclaré M. Ware, mais seulement de façon limitée, « car cela pourrait entraîner des conséquences négatives non intentionnelles ».

James Lewis, cyberexpert au Center for Strategic and International Studies, a, quant à lui, lancé l'idée d'un décret ordonnant aux agences de « surveiller et mieux gérer leur utilisation de ce type de plateformes » et exigeant des régulateurs sectoriels qu'ils exigent la même chose des entreprises dans les secteurs critiques, comme l'électricité et les soins de santé.

« Exiger quelque chose de similaire à ce qu'Apple fait sur l'App Store », a déclaré Lewis, notant que le géant de la technologie examine chaque application soumise et n'approuve que celles qu'il certifie être sûres. Mais selon Politico, l'audit de routine des logiciels serait probablement un fardeau énorme pour les agences fédérales, dont peu disposent d'assez de personnel de sécurité pour s'occuper de ce travail en plus de leurs tâches existantes.

Sources : MIT, Solarwinds, Questions des sénateurs au secrétaire du Trésor, Rapport du GAO

Et vous ?

Que pensez-vous de la cyberattaque qui a touché les principales agences fédérales des États-Unis  ?
Quels commentaires faites-vous de la procédure d’infiltration "lente" et "intelligente" des pirates ?
Le Congrès devrait autoriser la CISA et l'OMB à « réarchitecturer l'entreprise fédérale archaïque » et à déplacer plus d'applications vers le cloud pour améliorer la lutte contre le piratage. Qu’en pensez-vous ?
Quelle solution proposeriez-vous au gouvernement US pour éviter pareille attaque à l’avenir ?

Voir aussi :

La vaste campagne de piratage informatique a atteint Microsoft, qui qualifie la violation de la chaîne d'approvisionnement contre SolarWinds d'« acte d'imprudence »
Les pirates informatiques ont ciblé l'Agence américaine des armes nucléaires dans une violation massive de la cybersécurité, dans le cadre d'un assaut plus large contre les agences fédérales
Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
Le cabinet de campagne Biden frappé par un piratage informatique présumé du Kremlin, l'échec de l'attaque décelé par Microsoft, qui révèle que les hackers russes ont atteint 200 autres cibles

[redcurve]

Le code de solarwinds est proprement catastrophique

[marsupial]

SolarWinds dispose de deux portes dérobées dans Orion indépendantes l'une de l'autre. source Ziff Davis

La sonde Einstein de l'administration US n'est pas "heuristique" = grosse faiblesse comme dit dans la news.

L'Etat américain rémunère au plus bas du marché ses consultants en sécurité. Cela implique que ce ne sont malheureusement pas les meilleurs qui, eux, se retrouvent dans le privé, plus lucratif. source Ars Technica

Les recommandations du GAO sont sur la table depuis fin 2018 et ont été rapportées par le sénateur démocrate du comité du Congrés à la cybersécurité. Peu d'entres elles sont appliquées. Voire pas du tout. source Ziff Davis

De tous ces éléments, je tire comme conclusion que l'Etat américain peut se défendre des petits rigolos dans mon genre mais certainement pas contre un groupe de pirates déterminés.

La France n'est pas concernée par cette attaque, ni l'OTAN. Et même si c'était le cas, les attaquants n'auraient pas pu se déplacer dans le réseau comme ils l'ont fait aux Etats-Unis.

[MRSizok]

Rien de bien choquant dans le process des hackers...C'est ce que vous apprenez avec la certif Hacker Ethic...pratique comprise...

C'est sacrément humiliant pour SolarWind. Après, tu peux mettre autant de protection que tu veux. Le temps qu'il est possible d'y accéder....

[redcurve]

Rien de bien choquant dans le process des hackers...C'est ce que vous apprenez avec la certif Hacker Ethic...pratique comprise...

C'est sacrément humiliant pour SolarWind. Après, tu peux mettre autant de protection que tu veux. Le temps qu'il est possible d'y accéder....

Le problème est qu'il n'y a aucune sécurité justement, le code de solarwinds expose plusieurs services WCF avec aucun mécanisme de sécurité activé, il n'y a pas non plus de vérification des inputs. Leur code est un énorme bordel tout est à jeter. Le mot de passe de leur serveur de MAJ est une farce, ils ont signé leurs assembly mais la clef traine partout sur le web. Ce sont des quiches total, l'ensemble de leur soft doit être jeté à la benne le plus vite possible.

[Stan Adkens]

Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage,
Mais son plan pour réduire les risques aurait été ignoré

Un ancien conseiller en sécurité de SolarWinds a récemment déclaré qu'il avait averti la direction des risques liés à la cybersécurité et avait élaboré un plan il y a des années pour les améliorer. Ian Thornton-Trump avait déclaré à SolarWinds en 2017 que « la survie de l'entreprise dépend d'un engagement interne en matière de sécurité ». Mais les suggestions ont finalement été ignorées. Des clients d’un logiciel de gestion de réseaux de SolarWinds, dont plusieurs principales agences fédérales américaines et des sociétés privées, ont été victimes d’un cyberespionnage qui a duré plusieurs mois.

Ian Thornton-Trump travaillait chez LogicNow, une entreprise de Cloud Computing basée au Royaume-Uni, lorsqu'elle a été rachetée par SolarWinds en juin 2016. Avec près de deux décennies d'expérience dans le domaine de la cybersécurité, Thornton-Trump a déclaré qu'il avait aidé LogicNow à développer sa marque sur le marché de la sécurité.

Une présentation PowerPoint de 23 pages dans laquelle Thornton-Trump a recommandé aux dirigeants de l'entreprise en 2017 que SolarWinds nomme un directeur principal de la cybersécurité afin de s’engager dans une stratégie interne en matière de sécurité. Le conseiller en sécurité a remis le PowerPoint à au moins trois dirigeants de SolarWinds, tant du côté du marketing que de la technologie de la société, a-t-il dit.

Le mois suivant, il mettait fin à sa relation avec l'entreprise, affirmant que sa direction n'était pas intéressée par des changements qui auraient eu « un impact significatif », considérant une brèche majeure comme inévitable.

Dans un e-mail qu'il a envoyé à un dirigeant de SolarWinds le 15 mai 2017, qui expliquait les raisons de son départ, Thornton-Trump avait expliqué avoir « perdu confiance dans le leadership » de l'entreprise, qui selon lui semblait « réticent à apporter les corrections » qu'il jugeait nécessaires pour continuer à soutenir la marque de sécurité qu'il avait créée chez LogicNow.

« Il y avait un manque de sécurité au niveau du produit technique, et il y avait un leadership minimal en matière de sécurité au sommet », a déclaré Thornton-Trump dans une interview. « Nous savions en 2015 que les pirates cherchaient n'importe quelle voie vers une entreprise. Mais SolarWinds ne s'est pas adapté. C'est ça la tragédie. Il y avait beaucoup de leçons à apprendre, mais SolarWinds ne prêtait pas attention à ce qui se passait. »

Thornton-Trump ainsi qu'un ancien ingénieur en logiciel de SolarWinds ont déclaré qu'étant donné les risques de cybersécurité dans l'entreprise, ils considéraient une brèche majeure comme inévitable. Leurs inquiétudes concernant SolarWinds sont partagées par plusieurs chercheurs en cybersécurité, qui ont découvert ce qu'ils ont décrit comme des failles de sécurité flagrantes dans l'entreprise, dont les logiciels ont été utilisés dans une campagne de piratage informatique russe présumée.

« Je pense que du point de vue de la sécurité, SolarWinds était une cible incroyablement facile à pirater », a déclaré Thornton-Trump, aujourd'hui directeur de la sécurité informatique de la société de renseignements Cyjax Ltd.

Depuis la semaine dernière, 200 clients de la société SolarWinds, dont des agences gouvernementales américaines - le Département d'État, le DHS, le Trésor, le Département du Commerce et même l'Administration nationale de la sécurité nucléaire - et un nombre encore inconnu d'entreprises privées, y compris Microsoft et FireEye, ont vu leurs réseaux informatiques infectés par des pirates informatiques.

Au cours d'une opération que les experts en cybersécurité ont décrite comme extrêmement sophistiquée et difficile à détecter, les pirates ont installé un code malveillant dans les mises à jour du logiciel Orion de SolarWinds, largement utilisé, qui a été envoyé à pas moins de 18 000 clients.

D’autres failles découvertes dans les pratiques de sécurité de SolarWinds avant le piratage

En réagissant à une demande de commentaire à propos de la présentation de 2017 et sur d'autres problèmes de sécurité identifiés par des chercheurs, un porte-parole de SolarWinds a déclaré : « Notre priorité absolue est de travailler avec nos clients, nos partenaires industriels et les agences gouvernementales pour déterminer si un gouvernement étranger a orchestré cette attaque, pour mieux comprendre toute sa portée et pour aider à répondre aux besoins des clients qui se développent. Nous faisons ce travail aussi rapidement et de manière transparente que possible. Nous aurons tout le temps de regarder en arrière et nous prévoyons de le faire de manière tout aussi transparente ».

Un ancien employé de SolarWinds, qui a travaillé comme ingénieur logiciel dans l'un des bureaux américains de la société, a dit dans une déclaration que SolarWinds semblait donner la priorité au développement de nouveaux produits logiciels plutôt qu'aux défenses internes de cybersécurité. L'employé a déclaré qu'il n'était pas rare que certains des systèmes informatiques de l'entreprise fonctionnent avec des navigateurs Web et des systèmes d'exploitation obsolètes, ce qui pouvait les rendre plus vulnérables aux pirates.

D’autres chercheurs en cybersécurité ont également déclaré avoir découvert des failles dans les pratiques de sécurité de SolarWinds. L'un d'entre eux, Vinoth Kumar, a déclaré avoir informé SolarWinds en 2019 que le mot de passe d'un de ses serveurs avait fait l'objet d'une fuite en ligne. Le mot de passe, selon Kumar, était "solarwinds123". SolarWinds a dit à Kumar à l’époque que le mot de passe avait été visible en raison d'une « mauvaise configuration », et l'a supprimé.

En outre, jusqu'à récemment, SolarWinds conseillait à ses clients sur son site Web de désactiver le scannage de virus pour les produits de la plateforme Orion afin que ces produits puissent fonctionner plus efficacement, selon plusieurs chercheurs en cybersécurité qui ont publié un article à ce sujet sur Twitter. La page Web de SolarWinds a par la suite été retirée.

Jake Williams, un ancien hacker de l'Agence de sécurité nationale américaine qui est maintenant président de la société de cybersécurité Rendition Infosec, a déclaré que les entreprises technologiques telles que SolarWinds qui produisent du code informatique « ne font souvent pas bien la sécurité ».

« La sécurité est un centre de coûts, pas un centre de profit », a déclaré Williams. « Je pense que cela a probablement beaucoup à voir avec cela. Un problème sous-jacent à SolarWinds s'est probablement glissé dans certaines bonnes pratiques de sécurité manquantes ».

Tim Brown, ancien directeur de la technologie chez Dell Security, a été recruté par SolarWinds pour occuper le poste de vice-président de l'architecture de sécurité après le départ de Thornton-Trump. Dans une interview accordée à une publication spécialisée l'année dernière, Brown a déclaré qu'il travaillait à la protection des systèmes de SolarWinds contre les attaques. « Nous testons notre processus de réponse aux incidents tous les jours - au cas où quelque chose d'important nous arriverait de l'extérieur », a-t-il déclaré. « Nous avons eu de la chance, et c'est génial ». Lorsque des entreprises sont piratées, a ajouté Brown, c'est souvent de leur propre faute. « Si vous regardez les attaques qui ont réussi, la plupart d'entre elles ont été des erreurs stupides », a-t-il dit.

« La sécurité n'est pas une considération importante ni même bien comprise », a déclaré cette semaine Bryan Ware, ancien directeur adjoint de la CISA. « De nombreux directeurs de l'information ont acheté et déployé des logiciels SolarWinds sophistiqués, donc je ne m'interroge pas seulement sur le vendeur ».

Selon un rapport publié cette semaine, les pirates informatiques ont pu exploiter une vulnérabilité logicielle pour pénétrer dans les infrastructures critiques des agences américaines parce que le gouvernement fédéral ne procède qu'à des inspections de sécurité superficielles des logiciels qu'il achète à des entreprises privées pour un large éventail d'activités, de la gestion de bases de données à l'exploitation d'applications de chat internes.

Le sénateur démocrate Ron Wyden a déclaré que « Le gouvernement a désespérément besoin de fixer des exigences minimales de sécurité pour les logiciels et les services, et de refuser d'acheter tout ce qui ne répond pas à ces normes ». « Il est incroyablement contre-productif pour les agences fédérales de dépenser des milliards pour la sécurité et de donner ensuite des contrats gouvernementaux à des entreprises avec des produits non sécurisés ».

Sources : Ian Thornton-Trump, Tweet

Et vous ?

Qu’en pensez-vous ?
Que pensez-vous des sociétés comme SolarWinds qui ne tiennent pas compte des avertissements de sécurité ?
Peut-on se prémunir contre ce type de piratage qui a utilisé le produit Orion de SolarWinds ?

Voir aussi :

L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus
Comment la confiance des agences US dans des logiciels non testés a ouvert la porte aux piratages, les autorités devraient fixer des exigences minimales de sécurité pour les logiciels et services
Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
L'Union européenne prononce ses premières sanctions liées à la cybercriminalité, contre des Russes, Chinois et Nord-Coréens, impliqués dans des attaques comme WannaCry, NotPetya ou Cloud Hopper

[Daïmanu]

À chaque fois que je vois ce genre de news je suis aussi dégoûté que ce personnage de CommitStrip.

[Stan Adkens]

Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft,
Qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production

Microsoft a déclaré, il y a deux semaines, avoir détecté une mise à jour d’un logiciel de SolarWinds comportant une porte dérobée sur son réseau, mais un porte-parole a aussi dit que la société n’a trouvé aucune preuve d'accès à ces services de production ou aux données des clients. Reuters avait rapporté précédemment que les propres produits de Microsoft avaient été utilisés comme effet de levier dans l’attaque attribuée aux pirates informatiques russes. Jeudi dernier, Microsoft a maintenant déclaré que les cybercriminels à l'origine d'une brèche de sécurité massive contre le gouvernement américain ont également consulté une partie du code source de la société.

Microsoft avait précédemment reconnu avoir utilisé le logiciel de gestion de réseau de SolarWinds Orion, qui a donné aux attaquants une fenêtre potentielle sur des milliers d'organisations des secteurs public et privé. Un correctif logiciel a été utilisé par les cyberespions qui seraient liés à la Russie comme une porte dérobée potentielle dans les systèmes des victimes. Un porte-parole de Microsoft avait démenti l’essentiel d’un rapport de Reuters selon lequel ces cybercriminels avaient réussi à compromettre les réseaux du géant américain de logiciels.

L'Agence de sécurité nationale américaine a aussi publié en décembre un avis de cybersécurité détaillant comment certains services Cloud de Microsoft Azure ont pu être compromis par des pirates et enjoignant les utilisateurs à verrouiller leurs systèmes. Plusieurs agences fédérales américaines, y compris l'administration nationale de la sécurité nucléaire (NNSA) et le Département de l’Énergie (DOE), ainsi que des sociétés privées ont été piratées au cours de ce que les experts ont qualifié d’une campagne d’attaque sophistiquée.

« Comme d'autres clients de SolarWinds, nous avons recherché activement des indicateurs de cet acteur et pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants dans notre environnement, que nous avons isolés et supprimés. Nous n'avons trouvé aucune preuve d'accès aux services de production ou aux données des clients. Nos enquêtes, qui sont en cours, n'ont trouvé absolument aucune indication que nos systèmes ont été utilisés pour attaquer d'autres personnes », avait-il déclaré.

La divulgation de jeudi est la première fois que Microsoft a confirmé que les attaquants ont exploité la porte dérobée et profité de leur accès aux systèmes du géant de la technologie. Selon un billet de blog, Microsoft dit que les pirates informatiques ont consulté le code source de la société, le plan architectural d'un logiciel propriétaire potentiellement précieux. Microsoft, cependant, n'a pas spécifié le type de code source auquel les attaquants ont eu accès. Les intrus ont compromis le compte d'un employé par lequel ils ont consulté le code, a déclaré la société.

« Notre enquête a cependant révélé des tentatives d'activités allant au-delà de la simple présence de code SolarWinds malveillant dans notre environnement ». « Nous avons détecté une activité inhabituelle sur un petit nombre de comptes internes et après examen, nous avons découvert qu'un compte avait été utilisé pour consulter le code source dans plusieurs dépôts de code source », a déclaré la société dans son article de blog.

Les responsables du gouvernement américain ont déclaré en décembre que le simple téléchargement de la mise à jour de logiciel de SolarWinds ne constitue pas un piratage, mais il ne fait aucun doute que l'accès au code source en constitue un. Et ces derniers développements placent Microsoft, l'une des plus grandes entreprises de logiciels et de Cloud Computing au monde, parmi les victimes de l'une des campagnes de cyberespionnage les plus médiatisées de ces dernières années. La divulgation de Microsoft suggère également que l'espionnage d'entreprise pourrait avoir été un motif aussi bien qu'une chasse aux secrets gouvernementaux.

Le secrétaire d'État Mike Pompeo a publiquement accusé les Russes d'être les auteurs de cette campagne massive de cyberespionnage. Le président Trump a, quant à lui, cherché à détourner les soupçons contre la Russie, suggérant sans fondement que la Chine pourrait être le coupable. Il a même supposé que la cyberattaque aurait touché le système de vote en novembre. Des experts et d’autres officiels américains pensent également que le service de renseignement étranger de Moscou est derrière l'opération.

Les pirates informatiques n’ont pas modifié le code source, selon Microsoft

Le code source - l'ensemble des instructions sous-jacentes qui font fonctionner un logiciel ou un système d'exploitation - fait généralement partie des secrets les mieux gardés d'une entreprise technologique et Microsoft a toujours été particulièrement prudent pour le protéger. Plusieurs dépôts de code de Microsoft ont pourtant été consultés lors de l’attaque. Mais la société a déclaré que les pirates n'avaient pas l'autorisation de modifier le code ou les systèmes d'ingénierie.

« Le compte n'avait pas l'autorisation de modifier le code ou les systèmes techniques et notre enquête a confirmé qu'aucune modification n'avait été effectuée. Ces comptes ont fait l'objet d'une enquête et de mesures correctives », lit-on dans le billet. « Cette activité n'a pas mis en danger la sécurité de nos services ou des données de nos clients, mais nous voulons être transparents et partager ce que nous apprenons en luttant contre ce que nous pensons être un acteur très sophistiqué de l'État-nation ».

Bien que l'entreprise souligne que l'intrusion n'a pas mis en danger la sécurité de ses services ou des données de ses clients, certains experts affirment que l'accès au code source – ne serait-ce qu'à des fins de visualisation – pourrait potentiellement permettre aux pirates de mener des actes malveillants.

« Les intrus peuvent rechercher dans le code source des failles logicielles qu'ils pourraient exploiter, ajoutant ainsi de nouvelles armes à leur arsenal de cyberguerre », a déclaré Mike Chapple, professeur d'informatique à l'Université de Notre Dame et ancien informaticien de l'Agence nationale de sécurité.

« Avoir accès au code source donne aux pirates informatiques le plan de la création du logiciel et facilite la tâche. L'accès au code source donne aux pirates informatiques le schéma directeur de la création du logiciel et leur permet de découvrir plus facilement de nouvelles vulnérabilités », a déclaré Chapple, qui a quitté la NSA en 2001. « Les pirates peuvent toujours essayer de faire de l'ingénierie inverse sur les vulnérabilités des logiciels, mais le fait d'avoir le code source leur donne un raccourci », a-t-il déclaré.

Malgré l’accès au code source, « L'enquête, qui est en cours, n'a également trouvé aucune indication que nos systèmes ont été utilisés pour attaquer d'autres personnes », a déclaré la société.

Cependant, Mike Chapple a déclaré que les attaquants étaient probablement à la recherche de failles de sécurité potentielles dans les produits Microsoft qu'ils pourraient exploiter pour accéder aux utilisateurs de ces produits. « Les professionnels de la cybersécurité doivent maintenant s'inquiéter du fait que ces informations tombant entre de mauvaises mains pourraient créer la prochaine vulnérabilité de niveau SolarWinds dans un produit Microsoft », a-t-il déclaré.

Toutefois, Microsoft a déclaré que ses pratiques de sécurité commencent par supposer de manière préventive que les pirates ont déjà accès au code source de l'entreprise, et protège ses services en conséquence. « Nous ne nous appuyons pas sur le secret du code source pour la sécurité des produits, et nos modèles de menace supposent que les attaquants ont connaissance du code source », a déclaré la société. « Donc, la consultation du code source n'est pas liée à l'élévation du risque ».

Au début de ce mois, le président de Microsoft, Brad Smith, a déclaré que l'attaque était un « moment de réflexion » et a mis en garde contre le danger qu'elle représentait. « Il ne s'agit pas d'espionnage comme d'habitude », a déclaré Smith. « En effet, il ne s'agit pas seulement d'une attaque contre des cibles spécifiques, mais contre la confiance et la fiabilité des infrastructures critiques du monde afin de faire progresser l'agence de renseignement d'une nation ».

La modification du code source – que les pirates n'ont pas pu faire, selon Microsoft – pourrait avoir des conséquences potentiellement désastreuses étant donné l'omniprésence des produits Microsoft, qui comprennent la suite bureautique Office et le système d'exploitation Windows. Andrew Fife de Cycode, une société israélienne de protection du code source, a dit dans une déclaration : « Le code source est le plan architectural de la façon dont le logiciel est construit ». « Si vous avez le plan, il est beaucoup plus facile de concevoir des attaques ».

Reuters a rapporté il y a moins de deux semaines que des revendeurs autorisés par Microsoft ont été piratés et que leur accès à des programmes de productivité à l'intérieur des cibles a été utilisé pour tenter de lire des courriels. Microsoft a reconnu que l'accès de certains fournisseurs a été mal utilisé, mais n'a pas dit combien de revendeurs ou de clients ont pu être piratés, d’après Reuters. Par ailleurs, Reuters a rapporté le jeudi, en citant des sources bien informées, que Microsoft savait depuis des jours que ses dépôts de code source avaient été consultés, avant de l’annoncer jeudi.

Ronen Slavin, directeur de la technologie de Cycode, a déclaré, selon Reuters, qu'une question clé sans réponse était de savoir quels dépôts de code source étaient accessibles. Microsoft propose une vaste gamme de produits, allant de Windows, largement utilisé, à des logiciels moins connus tels que l'application de réseau social Yammer et l'application de design Sway.

Slavin s'est dit inquiet de la possibilité que les hackers de SolarWinds se penchent sur le code source de Microsoft en prélude à une offensive beaucoup plus ambitieuse. « Pour moi, la plus grande question est de savoir si cette reconnaissance était destinée à la prochaine grande opération », a-t-il déclaré.

Selon des sources du gouvernement américain et du secteur privé, le nombre total de victimes - d'agences et d'entreprises ayant vu des données volées - devrait se compter tout au plus par centaines, et non par milliers comme beaucoup le craignaient auparavant. Pour l’heure, Microsoft et le gouvernement américain poursuivent leurs enquêtes sur les brèches, une tâche qui devrait prendre des mois.

Source : Microsoft

Et vous ?

Que pensez-vous de la divulgation de Microsoft ?
Selon Reuters, Microsoft savait depuis plusieurs jours que son code source avait été consulté, avant de l’annoncer jeudi. Quel commentaire en faites-vous ?
Pensez-vous que le code source de Microsoft pourrait être utilisé pour mener des attaques beaucoup plus étendues ?

Voir aussi :

Trump minimise le piratage russe dans ses premiers commentaires sur la violation massive, suggère l'implication de la Chine, et suppose une attaque des machines à voter
La vaste campagne de piratage informatique a atteint Microsoft, qui qualifie la violation de la chaîne d'approvisionnement contre SolarWinds d'« acte d'imprudence »
Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage, mais son plan pour réduire les risques aurait été ignoré
Les pirates informatiques ont ciblé l'Agence américaine des armes nucléaires dans une violation massive de la cybersécurité, dans le cadre d'un assaut plus large contre les agences fédérales

[Stan Adkens]

Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ,
Les fédéraux essayant toujours de savoir si ce n’était que de l’espionnage ou quelque chose de plus sinistre

Le piratage de SolarWinds, attribué aux agents russes, qui a focalisé l'attention des principales agences fédérales américaines et des entreprises privées pourrait également être pire que ce que les officiels ont d'abord réalisé. Jusqu’à présent, les autorités américaines croient que quelque 250 agences américaines et sociétés privées sont maintenant affectées, d’après un rapport du New York Times. Les réseaux informatiques des Départements du Trésor, du Commerce, de l’Énergie, de l'administration nationale de la sécurité nucléaire des États-Unis, de FireEye et de Microsoft ont été piratés entre autres.

Trois semaines après que l'intrusion a été révélée, les responsables américains essaient toujours de comprendre si ce que les Russes ont fait n'était qu'une opération d'espionnage à l'intérieur des systèmes de la bureaucratie américaine ou quelque chose de plus sinistre, insérant un accès via une "porte dérobée" dans les agences gouvernementales, les grandes entreprises, le réseau électrique et les laboratoires qui développent les nouvelles générations d'armes nucléaires.

Alors que les enquêteurs du gouvernement et du secteur privé continuent leurs investigations, la campagne de cyberattaque a soulevé des questions sur la manière et les raisons de l'échec si spectaculaire des cyberdéfenses de la nation. Ces questions ont pris un caractère particulièrement urgent étant donné que la brèche n'a été détectée par aucune des agences gouvernementales qui partagent la responsabilité de la cyberdéfense – le Cyber Commandement militaire et l'Agence de sécurité nationale –, mais par une société privée de cybersécurité, FireEye.

« Cela semble bien pire que ce que je craignais au départ », a dit dans une déclaration le sénateur démocrate de Virginie Mark Warner, membre de la commission sénatoriale du renseignement. « La taille de l’intrusion ne cesse de croître. Il est clair que le gouvernement américain l'a manquée ». « Et si FireEye ne s'était pas manifesté, » a-t-il ajouté, « je ne suis pas sûr que nous en serions pleinement conscients à ce jour ».

Les intentions derrière l'attaque restent cachées, mais étant donné le nombre d’agences fédérales américaines déclarées victimes par rapport aux sociétés privées ayant déjà vu leurs réseaux infectés, on peut dire que le gouvernement américain était clairement le principal objectif de la cyberattaque. Certains analystes affirment que les Russes pourraient tenter d'ébranler la confiance de Washington dans la sécurité de ses communications et de démontrer leur cyberarsenal pour avoir une influence sur le président élu Joe Biden avant les pourparlers sur les armes nucléaires.

« Nous ne savons toujours pas quels étaient les objectifs stratégiques de la Russie », a déclaré Suzanne Spaulding, qui était la principale cyberofficielle au Département de la sécurité intérieure sous l'administration Obama. « Mais nous devrions nous inquiéter du fait qu'une partie de ces objectifs pourrait aller au-delà de la reconnaissance. Leur but peut être de se mettre en position d'avoir une influence sur la nouvelle administration, comme de tenir un pistolet sur notre tête pour nous dissuader d'agir pour contrer Poutine ».

Microsoft a déclaré que les pirates ont compromis le logiciel de surveillance et de gestion Orion de SolarWinds, leur permettant de se faire passer pour n'importe quel utilisateur et compte existant de l'organisation, y compris des comptes hautement privilégiés. La Russie aurait exploité des couches de la chaîne d'approvisionnement pour accéder aux systèmes des agences du gouvernement.

Les capteurs d'« alerte précoce » placés par le Cyber Commandement militaire et la NSA au sein des réseaux étrangers pour détecter les attaques en cours ont clairement échoué. Rien n'indique non plus qu'un quelconque renseignement humain ait alerté les États-Unis de ce piratage. En outre, il semble probable que l'attention portée par le gouvernement américain à la protection des élections de novembre contre les pirates informatiques étrangers a pu regrouper beaucoup de ressources afin de se concentrer sur la chaîne d'approvisionnement en logiciels, selon le quotidien.

Aussi, le fait de mener l'attaque depuis les serveurs aux États-Unis a apparemment permis aux pirates informatiques d'échapper à la détection des cyberdéfenses déployées par le ministère de la Sécurité intérieure. Certains des logiciels SolarWinds compromis ayant été conçus en Europe de l'Est, les enquêteurs américains seraient maintenant en train d’examiner si l'incursion a eu lieu dans cette région, où les agents des services de renseignement russes sont profondément enracinés, a rapporté The Times.

Il pourrait se passer des mois avant que l’ensemble des victimes soit débarrassé du code espion

La branche cybersécurité du Département de la Sécurité intérieure a conclu en décembre que les pirates travaillaient également par d'autres canaux que SolarWinds. Il y a une semaine, CrowdStrike, une autre société de cybersécurité, a révélé qu'elle était également visée, sans succès, par les mêmes pirates, mais par une société qui revend des logiciels Microsoft. Comme les revendeurs sont souvent chargés de mettre en place les logiciels des clients, ils ont un large accès aux réseaux des clients de Microsoft. Par conséquent, ils peuvent être un cheval de Troie idéal pour les pirates informatiques russes.

« Ils ont ciblé les points faibles de la chaîne d'approvisionnement et par le biais de nos relations les plus fiables », a déclaré Glenn Chisholm, un des fondateurs de la société Obsidian Security.

Toutefois, Microsoft a dit n’avoir « aucune indication que nos systèmes ont été utilisés pour attaquer d'autres personnes ». Cependant, le fabricant de logiciels a déclaré jeudi dernier qu'il avait découvert que ses systèmes étaient infiltrés « au-delà de la simple présence de code SolarWinds malveillant », comme la société l’avait prétendu auparavant. Les pirates ont pu « voir le code source dans un certain nombre de dépôts de code source », mais le compte piraté qui leur a donné accès n'avait pas la permission de modifier le code ou les systèmes.

Selon certains experts en sécurité, il est peut-être inutile de débarrasser tant d'agences fédérales tentaculaires du Service des renseignements extérieurs russe (S.V.R.) pointé du doigt dans le cyberespionnage, et que la seule façon de progresser était peut-être de fermer les systèmes et de repartir à zéro. Mais d'autres ont déclaré que le faire en plein milieu d'une pandémie coûterait trop cher et prendrait trop de temps, et que la nouvelle administration devrait s'efforcer d'identifier et de contenir chaque système compromis avant de pouvoir calibrer une réponse adéquate.

« Le S.V.R. est délibéré, il est sophistiqué et n'a pas les mêmes contraintes légales que nous, en Occident », a déclaré Adam Darrah, un ancien analyste des renseignements du gouvernement qui est maintenant directeur des renseignements de Vigilante, une société de sécurité. Les sanctions, les mises en accusation et les autres mesures, a-t-il ajouté, n'ont pas réussi à dissuader le S.V.R., qui a montré qu'il pouvait s'adapter rapidement. « Ils nous surveillent de très près en ce moment », a déclaré Darrah. « Et ils vont pivoter en conséquence ».

Selon les responsables des services de renseignement, il pourrait se passer des mois, voire des années, avant qu'ils n'aient une compréhension complète du piratage.

Source : New York Times

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que le nombre de victimes des pirates de SolarWinds pourrait encore s’étendre au-delà des victimes déjà relevées ? Pourquoi ?

Voir aussi :

Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
L'Union européenne prononce ses premières sanctions liées à la cybercriminalité, contre des Russes, Chinois et Nord-Coréens, impliqués dans des attaques comme WannaCry, NotPetya ou Cloud Hopper
L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus
Le cabinet de campagne Biden frappé par un piratage informatique présumé du Kremlin, l'échec de l'attaque décelé par Microsoft, qui révèle que les hackers russes ont atteint 200 autres cibles

[Stan Adkens]

États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale,
Et semblait être destiné à la « collecte de renseignements »

Les services de renseignement et les forces de l'ordre des Etats-Unis qui enquêtent sur la campagne massive de piratage informatique visant les agences gouvernementales américaines et les entreprises du secteur privé ont publié une déclaration commune mardi, emboîtant le pas aux experts et médias qui avaient déjà accusé le groupe APT29 d’être à l’origine de la cyberattaque. La déclaration conjointe indique que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.

Alors que de hauts responsables américains, dont le secrétaire d'Etat Mike Pompeo, ont précédemment suggéré que la campagne de piratage était menée par un groupe soutenu par la Russie, la déclaration commune de mardi offre l'évaluation la plus concrète sur les origines de l'attaque, provenant des agences qui enquêtent sur l'incident. En bref, le Cyber Unified Coordination Group (UCG) reconnaît clairement l'acteur responsable de la menace avancée, que les fonctionnaires et les experts américains ont suspecté depuis la première divulgation de la violation de données le mois dernier, comme étant « probablement d'origine russe ».

L’UCG, qui se compose du Bureau fédéral d'investigation (FBI), de l'Agence de cybersécurité et de sécurité des infrastructures (CISA), du Bureau du directeur du renseignement national (ODNI) et de l'Agence de sécurité nationale (NSA), a commencé à se réunir deux fois par jour depuis que le gouvernement a été informé du piratage, car il s'est efforcé d'évaluer l'ampleur des dégâts et les éventuels responsables de l'attaque. Les agences ont clairement indiqué que l'opération russe était « en cours » et que la chasse aux menaces n'était pas terminée.

« Il s'agit d'un compromis sérieux qui nécessitera un effort soutenu et dévoué pour y remédier », selon la déclaration. « L'effort conjoint des agences continuera à prendre toutes les mesures nécessaires pour enquêter, réparer et partager les informations avec nos partenaires et le peuple américain ».

Cette rare déclaration représente la première tentative officielle du gouvernement américain d'attribuer la responsabilité des violations des réseaux de plusieurs agences et de donner un motif possible à l'opération. Les agences de sécurité nationale indiquent que les piratages semblaient être destinés à la « collecte de renseignements », ce qui suggère que les preuves qu’elles ont recueillies jusqu'à présent indiquent un effort d'espionnage russe plutôt qu'une tentative d'endommager ou de perturber les opérations du gouvernement américain.

« À l'heure actuelle, nous pensons qu'il s'agissait, et qu'il s'agit toujours, d'un effort de collecte de renseignements. Nous prenons toutes les mesures nécessaires pour comprendre toute l'étendue de cette campagne et y répondre en conséquence », indique la déclaration.

Cette déclaration a été faite mardi alors que les responsables gouvernementaux et les experts en cybersécurité estiment depuis des semaines que la Russie est responsable. Des médias ont rapporté en décembre que des fonctionnaires de la Maison-Blanche étaient prêts à publier une déclaration qui accusait la Russie d'être le principal acteur du piratage, mais qu'on leur avait dit à la dernière minute de se retirer. Et le même le jour, le président Donald Trump a tweeté que le « Cyber piratage est bien plus important dans les faux médias que dans la réalité » et a suggéré sans aucune preuve que la Chine pourrait être responsable.

Le sénateur démocrate Mark Warner, membre de la commission sénatoriale du renseignement, a applaudi cette déclaration mardi, mais a indiqué qu'il espérait voir des mesures plus concrètes prises pour faire face à la menace et « une mise en garde très sévère contre toute utilisation abusive de réseaux compromis pour produire des effets destructeurs ou nuisibles ».

« Je suis heureux que nous obtenions enfin au moins une attribution provisoire de l'administration, bien que plus de trois semaines après la révélation d'une intrusion aussi importante, j'espère que nous commencerons à voir quelque chose de plus définitif, ainsi qu'une déclaration plus publique de la politique américaine à l'égard des infiltrations aveugles de la chaîne d'approvisionnement de ce type à l'avenir », a-t-il dit dans déclaration.

Moins de 10 agences fédérales américaines infectées par la campagne sophistiquée de piratage

La nouvelle de cette vaste campagne d'espionnage est apparue au début de décembre après que le géant de la cybersécurité FireEye a découvert que son propre réseau avait été piraté. Peu après, il a été signalé que plusieurs agences gouvernementales avaient également été infiltrées. Toutes les victimes sont des clients de la société américaine de logiciels SolarWinds, dont les outils de gestion de réseau Orion sont utilisés par le gouvernement américain et les entreprises de Fortune 500, même si CrowdStrike a révélé qu'elle était également visée, sans succès, par les mêmes pirates, mais par une société qui revend des logiciels Microsoft.

Le président américain avait minimisé l’attaque dans un tweet en décembre, mais un tweet publié mardi par le Conseil national de sécurité, suite à la déclaration gouvernementale, indique que Trump continue d’allouer d’importantes ressources pour soutenir la réponse à la cyberattaque.

« Le président DonaldTrump continue à augmenter toutes les ressources appropriées pour soutenir la réponse de l'ensemble du gouvernement au récent cyber-incident qui a affecté les réseaux gouvernementaux. Nous prenons toutes les mesures nécessaires pour comprendre l'ampleur de cet incident et y répondre en conséquence », lit-on.

Dans sa déclaration de mardi, le gouvernement américain affirme que la violation a touché les réseaux de moins 10 agences fédérales américaines et de plusieurs grandes entreprises technologiques, dont FireEye et Microsoft. Le FBI, la NSA et les autres agences de sécurité ont indiqué que le gouvernement « travaillait encore à comprendre l'étendue » de la brèche.

« L'UCG estime que, sur les quelque 18 000 clients des secteurs public et privé concernés par les produits Orion de SolarWinds, un nombre beaucoup plus restreint a été compromis par une activité de suivi sur leurs systèmes. Nous avons jusqu'à présent identifié moins de 10 agences gouvernementales américaines qui entrent dans cette catégorie, et nous travaillons à identifier les entités non gouvernementales qui pourraient également être touchées », indique la déclaration.

La déclaration n'a pas nommé les agences concernées, mais les Départements du Trésor, de l’Energie et du Commerce font partie des agences connues pour avoir été touchées. Le sénateur démocrate Ron Wyden a déclaré, selon de précédents rapports, que des dizaines de comptes de messagerie du Département du Trésor avaient été compromis et que des pirates informatiques avaient pénétré dans les systèmes utilisés par les plus hauts fonctionnaires du département.

Pour certains experts, l'étendue des cibles touchées n'a pas été révélée. « Je pense qu'il est très peu probable qu'à ce stade de l'enquête, ils puissent être certains que seules dix agences sont touchées », a déclaré Dmitri Alperovitch, ancien directeur technique de la société de cybersécurité CrowdStrike.

Pour Buchanan, un expert en cyberespionnage de l'Université de Georgetown, le fait que de multiples agences d'investigation attribuent maintenant la campagne de piratage à la Russie « lève tout doute sérieux qui subsiste sur les auteurs ». Toutefois, en ce qui concerne le nombre d'agences fédérales compromises, il a déclaré qu'il est difficile de savoir « de l'extérieur comment elles ont évalué cela ». Bien que de telles évaluations soient difficiles, a dit Buchanan, il pense que le gouvernement doit avoir des preuves de sa déclaration étant donné la nature conjointe de cette dernière.

Plus tôt ce mois, le sénateur Mark Warner a dit que le piratage « semble bien pire que ce que je craignais au départ ». « La taille de l’intrusion ne cesse de croître. Il est clair que le gouvernement américain l'a manquée ». Il a ajouté : « Et si FireEye ne s'était pas manifesté, je ne suis pas sûr que nous en serions pleinement conscients à ce jour ».

Un cadre supérieur de la société de cybersécurité qui a découvert le malware, FireEye, a déclaré le mois dernier que « des dizaines de cibles de très grande valeur » ont été infiltrées par des pirates informatiques d'élite, soutenus par l'Etat. Mais Charles Carmakal, directeur technique des services stratégiques de la société, n'a pas voulu nommer les cibles. Microsoft non plus, qui a déclaré avoir identifié plus de 40 cibles gouvernementales et privées compromises, la plupart aux États-Unis.

Source : Déclaration commune des agences de sécurité nationale

Et vous ?

Qu’en pensez-vous ?
Pourquoi cette déclaration a tardé à être publiée, selon vous ?
Qu’est-ce qui change dans l’attaque et la réponse des agences, maintenant que les auteurs sont officiellement connus ?
Moins de 10 agences gouvernementales américaines ont été touchées par la cyberattaque, selon la déclaration. Quels commentaires en faites-vous ?

Voir aussi :

L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus
Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre
Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
Le cabinet de campagne Biden frappé par un piratage informatique présumé du Kremlin, l'échec de l'attaque décelé par Microsoft, qui révèle que les hackers russes ont atteint 200 autres cibles

[marsupial]

Même si la news ne concerne pas la France, je reste effaré par le peu de réactions suscitées. Cela demeure un gros piratage qui impacte le "maître du monde", le maître du soft, Microsoft et le maître de la cybersécurité, FireEye.

Bref, c'est suffisamment important : il y a plus de réactions dans lefigaro.fr

Sinon, bonne année à tous !

[tanaka59]

Bonsoir,

États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale, et semblait être destiné à la « collecte de renseignements »

Qu’en pensez-vous ?

On voit que l’élection des démocrates ravivent les tensions US/RU. Tout est au conditionnel et il difficile de certifier que cela vient de Russie ...

Pourquoi cette déclaration a tardé à être publiée, selon vous ?

A force d'espionner le monde , c'est l’arroseur arrosé ... Pour une fois que les USA ont trouvé "plus fort" ... ils peinent à identifier d’où vient l'attaque . Comme quoi on ne peut pas toujours être "le leader" tout le temps

Qu’est-ce qui change dans l’attaque et la réponse des agences, maintenant que les auteurs sont officiellement connus ?

Ennemie de l’intérieur difficilement identifiable. Un cheval de Troyes en somme. Un service a pu être une "mule" sans le savoir du coup il est quasi impossible d'identifier la source externe de l'attaquant ...

Moins de 10 agences gouvernementales américaines ont été touchées par la cyberattaque, selon la déclaration. Quels commentaires en faites-vous ?

Il y a du avoir tellement une honte que les chiffres ont de fortes chances d'être volontairement tronqués . Solution 2 ils n'ont pas encore découverts tout le poteau rose !

[Bill Fassinou]

Les enquêteurs de Kaspersky pourraient avoir identifié les hackers de la société texane SolarWinds
il s'agirait du groupe russe de pirates informatiques Turla

SolarWinds a été la cible d'une importante campagne de piratage qui a duré sur plusieurs mois (de mars à décembre 2020 environ) et qui a permis aux attaquants de compromettre des données de près de 1800 organisations. Après une enquête approfondie, les enquêteurs de la société de cybersécurité Kaspersky, basée à Moscou, ont affirmé ce lundi que les pirates de SolarWinds ont utilisé un outil qui ressemble énormément à un logiciel malveillant lié à un groupe de piratages informatiques connu sous le nom de "Turla". Cette conclusion vient étayer les accusations de Washington, déclarant que la Russie était derrière ce piratage.

Kaspersky trouve les preuves d'une probable implication de la Russie

En effet, lors du piratage du logiciel SolarWinds, certains des secrets les plus profondément enfouis des États-Unis ont peut-être été volés. Quels types de données les pirates informatiques ont-ils pu drainer pendant tout ce temps ? Des secrets nucléaires ? Des données sur le vaccin Covid-19 ? Des plans pour la prochaine génération de systèmes d'armes ? L'ombre plane toujours sur la véritable nature des données compromises, et il faudra encore des semaines, voire des années dans certains cas, pour que les détectives numériques passent au peigne fin les réseaux du gouvernement américain et de l'industrie privée pour obtenir les réponses.

Dans une déclaration commune la semaine dernière, le FBI, la NSA, l'Agence de cybersécurité et de sécurité des infrastructures et le Bureau du directeur du renseignement national ont déclaré avoir identifié "moins de 10" agences fédérales américaines comme ayant été potentiellement compromises. Seuls les départements américains du Commerce, de l'Énergie et du Trésor ont reconnu avoir été piratés, aux côtés de sociétés telles que Microsoft et la société de cybersécurité FireEye.

Selon les experts, ces pirates informatiques sont des professionnels accomplis qui savent brouiller les pistes. Certains vols peuvent ne jamais être détectés. Randy Watkins, le directeur de la technologie de la société de cybersécurité Critical Start, basée au Texas, a déclaré que les objectifs des pirates peuvent être aussi bien financiers que le vol et la destruction de données. Ce qui semble clair, c'est que cette campagne, qui selon les experts en cybersécurité, présente les tactiques et les techniques de l'agence de renseignement russe SVR sera l'une des plus prolifiques dans les annales du cyberespionnage.

Ce lundi, les enquêteurs de Kaspersky ont déclaré que le groupe à l'origine de la campagne mondiale de cyberespionnage de SolarWinds a utilisé un code informatique malveillant avec des liens vers des outils d'espionnage utilisés auparavant par des pirates informatiques russes présumés. Selon ces chercheurs, la "porte dérobée" qui a été utilisée pour compromettre jusqu'à 1800 clients, y compris des agences gouvernementales américaines, du fabricant de logiciels américain ressemblait beaucoup à un logiciel malveillant lié au groupe de piratage informatique "Turla".

Les chercheurs Georgy Kucherin, Igor Kuznetsov et Costin Raiu concluent que la porte dérobée appelée "Sunburst" utilisée pour communiquer avec un serveur contrôlé par les pirates ressemblait à un autre outil de piratage appelé "Kazuar", qui avait été précédemment attribué à l'APT Turla (menace persistante avancée). Selon un rapport du Financial Time, les autorités estoniennes ont révélé il y a de cela deux ans que ce groupe opère au nom du service russe de sécurité FSB. Cependant, les enquêteurs de Kaspersky ont averti que les similitudes de code ne confirment pas que le groupe est derrière l'attaque de l'infrastructure de SolarWinds.

Toutefois, ces conclusions sont les premières preuves publiquement disponibles pour soutenir les affirmations des États-Unis selon lesquelles la Russie a orchestré le piratage, qui a compromis un ensemble d'agences fédérales sensibles et qui est parmi les cyberopérations les plus ambitieuses jamais divulguées. Moscou a nié ces allégations à plusieurs reprises et le FSB n'a pas répondu à une demande de commentaires. Costin Raiu, responsable de la recherche et de l'analyse mondiale chez Kaspersky, a déclaré qu'il y avait trois similitudes distinctes entre Sunburst et Kazuar de Turla.

Les similitudes comprennent la façon dont les deux logiciels malveillants ont tenté de cacher leurs fonctions aux analystes de sécurité, la façon dont les pirates ont identifié leurs victimes, et la formule utilisée pour calculer les périodes de dormance des virus afin d'éviter la détection. Il reste à déterminer s'il s'agit de coïncidence ou simplement de l'œuvre du groupe Turla. « Néanmoins, ce sont de curieuses coïncidences », a déclaré Raiu. « Une coïncidence ne serait pas si inhabituelle, deux coïncidences feraient définitivement sourciller, tandis que trois coïncidences de ce type nous semblent plutôt suspectes ».

Des choses restent à déterminer avant de confirmer l'implication de Turla

Les attaques de Turla ont été documentées depuis au moins 2008, lorsque le groupe était soupçonné d'avoir infiltré le commandement central américain. Plus tard, Turla a été impliqué dans des attaques contre des ambassades dans un certain nombre de pays, des ministères, des services publics, des prestataires de soins de santé et d'autres cibles. Plusieurs sociétés de cybersécurité ont déclaré qu'elles pensaient que l'équipe de piratage était russe, et un rapport des services de renseignement estoniens datant de 2018 indique que le groupe est "lié au service de sécurité fédéral, le FSB".

Ciaran Martin, ancien chef du NCSC (UK’s National Cyber Security Centre - Centre national de cybersécurité du Royaume-Uni) et maintenant professeur à l'école Blavatnik de l'Université d'Oxford, a déclaré que l'impact des découvertes de Kaspersky pourrait être important. « Certaines parties de l'État russe ne font que pirater à des fins d'espionnage ; d'autres ont un bilan plus sinistre d'attaques perturbatrices après un premier piratage. Il est donc très important de comprendre exactement quelle partie de la Russie est derrière SolarWinds », a-t-il déclaré.

« Je suis sûr que le gouvernement américain et ses partenaires examinent de très près toutes ces preuves », a-t-il ajouté, tout en précisant que jusqu'à présent, il n'y avait aucune preuve que le piratage de SolarWinds a été motivé par "autre chose que de l'espionnage". La porte dérobée Sunburst utilisée lors de la récente attaque a permis aux pirates de recevoir des rapports sur les ordinateurs infectés et de cibler ensuite ceux qu'ils jugeaient intéressants pour une exploitation ultérieure. La grande majorité des 18.000 machines infectées n'ont pas été référées pour une exploitation ultérieure, ce qui montre que l'attaque a été très ciblée.

Cela dit, malgré la forte ressemblance entre Sunburst et Kazuar, les chercheurs rappellent toujours qu'attribuer avec certitude les cyberattaques est extrêmement difficile et parsemé d'embûches possibles. Plusieurs points sont à éclaircir lors d'une cyberattaque avant de pouvoir l'imputer convenablement à un auteur. Par exemple, ils ont rappelé que lorsque les pirates informatiques russes ont perturbé la cérémonie d'ouverture des Jeux olympiques d'hiver en 2018, ils ont délibérément imité un groupe nord-coréen pour essayer de détourner les responsabilités.

Raiu estime que les indices numériques découverts par son équipe n'impliquaient pas directement Turla dans la compromission de SolarWinds, mais montraient qu'il y avait un lien encore à déterminer entre les deux outils de piratage. Selon lui, il est possible qu'ils aient été déployés par le même groupe, mais aussi que Kazuar ait inspiré les pirates de SolarWinds, que les deux outils aient été achetés auprès du même développeur de logiciels espions, ou même que les attaquants aient placé de "faux drapeaux" pour tromper les enquêteurs.

Les équipes de sécurité aux États-Unis et dans d'autres pays travaillent toujours pour déterminer l'étendue du piratage de SolarWinds, il faudra probablement plusieurs mois aux équipes de sécurité pour expulser les pirates des réseaux victimes.

Source : Kaspersky

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production

L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations. Ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus

Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage, mais son plan pour réduire les risques aurait été ignoré

La vaste campagne de piratage informatique a atteint Microsoft, qui qualifie la violation de la chaîne d'approvisionnement contre SolarWinds d'« acte d'imprudence »

[Anselme45]

Les enquêteurs de Kaspersky pourraient avoir identifié les hackers de la société texane SolarWinds. Il s'agirait du groupe russe de pirates informatiques Turla

Bof, rien de nouveau sous le soleil. En fonction du moment, toute action de hacking aux USA a pour origine la Chine, la Russie, la Corée du Nord ou l'Iran.

Certains appliquent simplement une règle marketing de base: Toujours faire plaisir à son client!

Pas sûr que l'information de Kaspersky ferait la une des médias américains si la conclusion était que les hackers étaient strasbourgeois!

[Stan Adkens]

Les pirates informatiques proposent de vendre à Microsoft et Cisco davantage de code source lié à l'incident Solarwinds,
Et offrent l'accès au code source de Windows 10 volé pour 600 000 dollars

Microsoft a été piraté par un groupe de pirates informatiques lié à la Russie qui a compromis les réseaux du fabricant de logiciels SolarWinds et de plusieurs agences fédérales américaines, ainsi que plusieurs sociétés privées. Microsoft a confirmé l’accès à son code source, mais la société a affirmé qu'il n'y a aucune preuve que cette activité ait mis en danger la sécurité des services de Microsoft ou des données des clients. Maintenant les attaquants, qui prétendent être responsables de l'attaque de la chaîne d'approvisionnement de SolarWinds, affirment qu'ils ont des données de leurs exploits qu'ils souhaitent vendre.

Parmi les données proposées figurent le code source partiel de Microsoft Windows, le code source de plusieurs produits Cisco, le code source des produits SolarWinds et les outils FireEye Red Team. L'attaque contre SolarWinds a été révélée en décembre, peu après que FireEye ait révélé le 9 décembre qu'il avait été compromis et s'était fait voler ses outils Red Team. Cinq jours plus tard, FireEye a publié des détails sur des attaques utilisant un malware qu'il a appelé Sunburst ; il a déclaré que ce malware avait été utilisé pour frapper des entités privées et publiques, en corrompant le logiciel de gestion de réseau Orion, un produit de SolarWinds.

Le groupe qui offre en vente le code source a créé des sites, tant sur Internet que sur le dark web, et a publié des détails sur ce qu'il est censé posséder, faisant le tout pour un million de dollars. L'accès au code source de Windows 10 revient à Microsoft pour 600 000 dollars. Solarleaks.net, c’est la page Web qui contient les informations sur les données volées. Les cybercriminels promettent même du bonus aux éventuels acheteurs : « All leaked data for 1,000,000 USD (+ bonus) ».

La nouvelle a été rapportée premièrement par le chercheur en sécurité Jake Williams, fondateur de Rendition Infosec et ancien hacker de la NSA. Williams a d’abord averti que tout cela semblait être une ruse, que les pirates informatiques, qui semblent être le groupe russe bien connu sous le nom de Shadow Brokers, pourraient simplement essayer de brouiller les pistes, et non de prendre l'offre au pied de la lettre.

« Il n'y a pas de viande sur cet os tant qu'il n'y en a pas d'autres », a-t-il tweeté dans son fil de discussion. « Les seules choses à prendre en compte sont : Nous avons déjà vu des acteurs de la menace russe utiliser ce type de fausse piste pour brouiller les pistes d'attribution ; il ne faut pas se laisser avoir. C'est tout. C'est toute l'histoire ».

La cyberattaque que les experts en cybersécurité et les officiels du gouvernement américains ont tous décrite comme une attaque sophistiquée a fait plusieurs victimes et non des moindres parmi les agences fédérales américaines. Les Départements du Tresor, du Commerce, de l’Energie, l'administration nationale de la sécurité nucléaire et autre. Les agences de sécurité nationale continuent à travailler pour en savoir plus sur le piratage, mais une déclaration du Cyber Unified Coordination Group (UCG), composé du FBI, CISA, ODNI et NSA, a révélé que la violation a touché les réseaux de moins 10 agences fédérales américaines et de plusieurs grandes entreprises technologiques.

Alors que le groupe a indiqué dans sa déclaration que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre, les enquêteurs de la société de cybersécurité Kaspersky, basée à Moscou, sont allés plus loin en affirmant lundi qu’il s'agirait du groupe russe de pirates informatiques Turla.

Ces enquêteurs ont conclu que la porte dérobée appelée "Sunburst" utilisée pour communiquer avec un serveur contrôlé par les pirates ressemblait à un autre outil de piratage appelé "Kazuar", qui avait été précédemment attribué à l'APT Turla. Selon un rapport du Financial Time, les autorités estoniennes ont révélé il y a de cela deux ans que ce groupe opère au nom du service russe de sécurité FSB. Cependant, les enquêteurs de Kaspersky ont averti que les similitudes de code ne confirment pas que le groupe est derrière l'attaque de l'infrastructure de SolarWinds.

Microsoft est l’une des victimes du piratage. Le 31 décembre, Microsoft, qui s’était auparavant limité à la présence sur son réseau d’une mise à jour malveillante du produit de gestion de réseau de SolarWinds Orion, a divulgué avoir « détecté une activité inhabituelle sur un petit nombre de comptes internes et après examen, nous avons découvert qu'un compte avait été utilisé pour consulter le code source dans plusieurs dépôts de code source ».

La société a ensuite dit que le compte utilisé par les cybercriminels n'avait pas l'autorisation de modifier le code ou les systèmes techniques, par conséquent aucune modification n'avait été effectuée dans les dépôts de code. Microsoft a également affirmé que la consultation du code source n'augmente pas le risque, car l'entreprise ne dépend pas du secret du code source pour la sécurité des produits.

Le groupe qui propose de vendre le code volé pourrait être le vrai groupe à l'origine de l'incident SolarWinds

Selon les experts, les pirates informatiques à l’origine du piratage de SolarWinds sont des professionnels accomplis qui savent brouiller les pistes. Certains vols peuvent ne jamais être détectés. Randy Watkins, le directeur de la technologie de la société de cybersécurité Critical Start, basée au Texas, a déclaré que les objectifs des pirates peuvent être aussi bien financiers que le vol et la destruction de données. Ce qui semble clair, c'est que cette campagne sera l'une des plus prolifiques dans les annales du cyberespionnage.

Après avoir écrit que cette offre de vente de code pourrait être une tactique pour brouiller les pistes d'attribution, Jake Williams a ensuite quelque peu changé de position, en écrivant : « Une dernière réflexion sur #solarLeaks : la prétendue vente n'est faite que pour des choses commercialement intéressantes, pas pour des données ayant une valeur de renseignement. Le fait qu'aucune donnée de renseignement (Trésor, Commerce, etc.) n'ait été proposée suggère qu'il pourrait s'agir du vrai groupe », a-t-il tweeté.

« Un arnaqueur pure play proposerait probablement des données présumées provenant de ces organisations aussi. Il pourrait même faire mordre à l'hameçon d'autres organisations du renseignement. À ces prix, personne n'achète ces données commerciales, donc je penche encore pour une erreur d'attribution ».

« La pertinence de l'expression "aucune donnée ayant une valeur de renseignement" est juste que je ne pense pas que la plupart des escrocs auraient pensé cela (plus de données annoncées == plus d'opportunités). Je m'attendrais également à ce qu'ils baissent les prix à un niveau peut-être plus raisonnable dans l'espoir d'obtenir quelqu’un morde ».

Le groupe Shadow Brokers a initialement proposé de vendre les exploits qu'ils avaient obtenus de la NSA au plus offrant. Cependant, dans ce cas, leurs affirmations se sont avérées exactes, puisqu'ils ont ensuite divulgué tous ces exploits sur le Web en 2016. Après avoir fait un petit discours, notamment sur les élections présidentielles aux États-Unis, pouvoir d’achat, guerre numérique et bien d’autres, le collectif a donné accès à un lien, mot de passe à la clé, pour les chercheurs désireux de mettre le grappin sur ces nouveaux éléments.

Certains d'entre eux, comme le célèbre exploit Eternal Blue, ont été utilisés avec un effet révélateur dans des logiciels malveillants comme WannaCry. Malgré une longue enquête sur les courtiers, la NSA n'a pas encore déterminé l'identité des personnes qui composent le groupe. Pour cette dernière proposition, les pirates informatiques promettent sur leur page Weg que « D’autres informations sont à venir dans les prochaines semaines ».

Source : Solarleaks.net, Tweet (1 & 2)

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que ce sont les cybercriminels qui ont piraté la chaîne d’approvisionnement de SolarWinds qui sont en train de vendre du code volé ?
Microsoft a affirmé que la consultation du code source n'augmente pas le risque. Qu’en est-il maintenant alors que le code est en vente, selon vous ?

Voir aussi :

Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
La vaste campagne de piratage informatique a atteint Microsoft, qui qualifie la violation de la chaîne d'approvisionnement contre SolarWinds d'« acte d'imprudence »
États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale, et semblait être destiné à la « collecte de renseignements »
Les enquêteurs de Kaspersky pourraient avoir identifié les hackers de la société texane SolarWinds, il s'agirait du groupe russe de pirates informatiques Turla

[marsupial]

J'en pense que Solarwinds a embauché 2 experts en cybersécurité pour revoir de fond en comble la sécurité de l'entreprise et des softs (source Ziff Davis). Microsoft devrait peut-être faire de même pour son code. Mais à ces prix, seul des états pourront s'offrir ce que vendent les pirates. Et pour la source, je pense que ce sont les pirates eux-mêmes à l'origine de ces révélations.

[Eric80]

j y connais rien, mais les prix me semblent pas très élevés, qd on pense aux heures de travail derrière le code.

Le code de Windows n'est pas complètement fermé: Microsoft offre son code source pour inspection aux gouvernements partenaires qui en font la demande: https://docs.microsoft.com/en-us/sec.../onlinesources

[steel-finger]

Le code de Windows n'est pas complètement fermé

Alors oui mais, comment savoir que le code source vu est bien le même qui tourne sur un pc ! Car ils peuvent nous montrer un code clean et un autre qui tourne totalement modifié.

[Stan Adkens]

SolarWinds corrige les vulnérabilités qui pourraient permettre un contrôle total du système,
Alors que les enquêteurs ont découvert ce qui semble être la cause de la dernière cyberattaque

Les clients de SolarWinds sont invités à appliquer les nouveaux correctifs de sécurité après la découverte de trois vulnérabilités graves non divulguées auparavant, qui pourraient permettre aux attaquants d'abuser des outils d'administration informatique de l'entreprise pour prendre le contrôle des systèmes Windows. SolarWinds est la société dont l'outil de surveillance de réseau Orion a été le principal vecteur de l'une des plus graves brèches de l'histoire des États-Unis. Des attaquants ont compromis des mises à jour du produit logiciel qui ont ensuite été distribuées à 18 000 clients de la société.

Un chercheur du Trustwave SpiderLabs du nom de Martin Rakhmanov, a déclaré dans un article de blog mercredi qu'il avait commencé à analyser les produits SolarWinds peu après que FireEye et Microsoft ont signalé que des pirates informatiques avaient pris le contrôle de la chaîne d'approvisionnement de logiciels de SolarWinds et l'avaient utilisé pour distribuer des mises à jour contenant une porte dérobée aux clients d'Orion. Il ne lui a pas fallu longtemps pour trouver trois vulnérabilités, deux dans Orion et une troisième dans un produit connu sous le nom de Serv-U FTP pour Windows. Il n'y a aucune preuve qu'une de ces vulnérabilités a été exploitée dans la nature, selon le chercheur.

Trois vulnérabilités découvertes

La vulnérabilité la plus grave (suivie sous le nom de CVE-2021-25275) pourrait permettre aux attaquants d'exploiter une vulnérabilité dans la manière dont Orion fonctionne avec Microsoft Message Queue (MSMQ) - un outil qui existe depuis plus de 20 ans, mais qui n'est plus installé par défaut sur les machines Windows – pour accéder à des informations d'identification sécurisées dans le système de gestion et obtenir un contrôle complet sur l'ensemble du système Windows. Cela pourrait être utilisé pour voler des informations ou ajouter de nouveaux utilisateurs de niveau administrateur à Orion.

En fouillant dans la console de gestion de l'ordinateur Windows, Rakhmanov a rapidement obtenu les autorisations de sécurité suivantes pour l'une des dizaines de files d'attente privées qu'elle permettait. (Voir fenêtre ci-dessous)

« Il est assez difficile de passer à côté de ce bouclier d'avertissement qui montre que la file d'attente, comme toutes les autres, n'est pas authentifiée », a écrit le chercheur. « En bref, les utilisateurs non authentifiés peuvent envoyer des messages à de telles files d'attente sur le port TCP 1801. Mon intérêt a été éveillé, et je suis allé voir le code qui gère les messages entrants. Malheureusement, il s'est avéré être une victime de "désérialisation" dangereuse ».

Dans un avis de sécurité distinct publié le même jour, Trustwave SpiderLabs a décrit la faille de cette façon :

« Le "Collector Service" de SolarWinds utilise le MSMQ et ne définit pas de permissions sur ses files d'attente privées. Par conséquent, les clients distants non authentifiés peuvent envoyer des messages que le Collector Service traitera. De plus, lors du traitement de ces messages, le service les désérialise de manière non sécurisée, permettant ainsi l'exécution de code arbitraire à distance en tant que "LocalSystem" ».

La deuxième vulnérabilité d'Orion (suivie sous le nom de CVE-2021-25275) résulte du fait qu'Orion stocke les informations d'identification de la base de données de manière non sécurisée. Plus précisément, Orion conserve les informations d'identification dans un fichier lisible par les utilisateurs non privilégiés.

Alors que les fichiers protègent cryptographiquement les mots de passe, le chercheur a pu trouver un code qui convertit le mot de passe en texte en clair. Cela permet à toute personne pouvant se connecter à une boîte en local ou via le protocole Remote Desktop de pouvoir obtenir les informations d'identification pour le SolarWindsOrionDatabaseUser. Cela pourrait à nouveau conduire à un accès non autorisé à des systèmes et serveurs sensibles.

« L'étape suivante consiste à se connecter au serveur Microsoft SQL en utilisant le compte récupéré, et à ce stade, nous avons un contrôle total sur la base de données SOLARWINDS_ORION », a écrit Rakhmanov dans son article de blog. « À partir de là, on peut voler des informations ou ajouter un nouvel utilisateur de niveau admin pour être utilisé dans les produits SolarWinds Orion ».

La troisième vulnérabilité (suivie sous le nom de CVE-2021-25276) concernait SolarWinds Serv-U FTP et permet à toute personne pouvant se connecter localement – ou à distance via RDP – d'ajouter un compte administrateur et tous les privilèges que cela implique en matière d'accès au réseau et aux serveurs, ce qui pourrait donner à un attaquant l'accès à des informations sensibles.

« Toutes ces vulnérabilités ont le potentiel de compromettre complètement le serveur Windows qui exécute des logiciels précieux », a dit dans une déclaration Karl Sigler, threat intelligence manager chez Trustwave. « Orion n'est pas comme une suite Office, il est utilisé par votre administrateur réseau et d'autres personnes ayant de nombreux privilèges et accès à des données précieuses sur le réseau », a déclaré Sigler.

Trustwave a révélé ses conclusions à SolarWinds et des correctifs de sécurité ont été publiés pour combler les vulnérabilités et empêcher leur exploitation.

« Des vulnérabilités de divers degrés sont communes à tous les logiciels, mais nous comprenons que SolarWinds fait l'objet d'une surveillance accrue en ce moment. Les vulnérabilités annoncées par Trustwave concernant Orion 2020.2.4 ont été corrigées grâce à un correctif publié le 25 janvier 2021. Les vulnérabilités concernant Serv-U 115.2.2 seront corrigées par un correctif publié le 3 février 2021 », a déclaré un porte-parole de SolarWinds. « Nous nous sommes toujours engagés à travailler avec nos clients et d'autres organisations pour identifier et corriger de manière responsable les vulnérabilités de notre portefeuille de produits. L'annonce d'aujourd'hui s'inscrit dans ce processus ».

Il est donc recommandé aux organisations de mettre en place une stratégie pour appliquer le plus rapidement possible les correctifs de sécurité nécessaires pour se protéger contre les trois nouvelles vulnérabilités. Les correctifs arrivent au moment où SolarWinds s'efforce de résoudre son rôle dans un piratage majeur de ses clients. Par ailleurs, les enquêteurs de l’entreprise ont découvert ce qui pourrait être une cause première de la précédente campagne de cyberattaque.

Les pirates informatiques ont pu espionner les emails de Solarwinds pendant presque un an

Si les enquêteurs ont réussi à décortiquer le détail technique de la manipulation d’Orion par les attaquants qui ont investi les réseaux informatiques des principales agences fédérales des États-Unis, ils n’ont toujours pas trouvé de réponse à leur principale question, à savoir par quel biais les attaquants ont pénétré le réseau interne de SolarWinds.

Plusieurs hypothèses sont étudiées, et l’une d’entre elles vient de gagner en crédibilité avec la dernière déclaration de l’actuel CEO de l’entreprise, Sudhakar Ramakrishna, au Wall Street Journal le 2 février. Ramakrishna a déclaré : « Des comptes email ont été compromis. Les hackers s’en sont servis pour compromettre d’autres comptes email, et au final, c’est notre environnement Office 365 entier qui a été compromis ».

Les enquêteurs avaient déjà retrouvé des traces de l’activité des pirates informatiques, liés à la Russie selon le FBI, dans les systèmes datant de septembre 2019, et ils ont désormais identifié un compte email manipulé dès décembre 2019. Les cyberespions seraient parvenus à utiliser le compte pour corrompre d’autres adresses email, et se répandre au final sur l’intégralité des boîtes email. Ce qui signifie que pendant au moins neuf mois, et peut-être plus d’un an, les pirates ont pu épier les emails internes de l’entreprise et les discussions avec ses partenaires.

Cette déclaration montre que le chantier interne lancé par Ramakrishna semble porter ses fruits : l’enquête progresse certes lentement, mais elle apporte des réponses. Le nouveau CEO a pris ses fonctions le 7 janvier, à peine deux semaines après le déclenchement de la crise, et a donc dû prendre en main le dossier dès son arrivée. Le dirigeant avait accepté le poste début décembre, peu avant la découverte de l’opération de cyberespionnage.

Cette coïncidence est tombée à pic pour SolarWinds. Le prédécesseur de Ramakrishna, Kevin Thompson, comptable de formation, est resté à la tête du groupe pendant 10 ans. Il a certes fait exploser les bénéfices de l’entreprise, mais il a aussi vivement été critiqué pour ses décisions budgétaires. Et pour cause, il aurait grandement réduit le financement de la division de sécurité de l’entreprise, notamment en délocalisant une partie des équipes.

À l’inverse, Sudhakar Ramakrishna vient du monde de la sécurité. Il a fondé et dirigé pendant 5 ans Pulse Secure, un éditeur de VPN d’entreprise. Pendant cette période, il a déjà dû gérer une importante crise : un bug du VPN était exploité pour lancer des attaques au ransomware, selon un avis de la CNIL publié en août dernier. Arrivé chez SolarWinds, il a donc immédiatement renforcé les mesures de sécurité, et dépêché au chevet de l’entreprise des spécialistes du secteur parmi lesquels Crowdstrike et Microsoft. Pour marquer le coup médiatiquement, il a également fait appel à un duo composé de Chris Krebs, anciennement en poste de directeur du CISA de la Sécurité intérieure des États-Unis et Alex Stamos, ancien directeur de la sécurité chez Facebook.

La question qui reste en suspens chez les enquêteurs est de savoir si la compromission des boîtes email est un nouveau symptôme de la cyberattaque sophistiquée, ou bien sa cause première. Dans tous les cas, les enquêtes continuent chez Solarwinds.

Sources : Solarwinds, Trustwave(1 & 2)

Et vous ?

Qu’en pensez-vous ?
Quels commentaires faites-vous de la découverte de deux vulnérabilités dans Orion et une troisième dans un autre produit Solarwinds ?
Devrait-on craindre d’autres failles dans ces produits dont les clients comprennent les agences des gouvernements ?

Voir aussi :

Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage, mais son plan pour réduire les risques aurait été ignoré
Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre
L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus
Les pirates informatiques proposent de vendre à Microsoft et Cisco davantage de code source lié à l'incident Solarwinds, et offrent l'accès au code source de Windows 10 volé pour 600 000 dollars

[Stan Adkens]

Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée,
Les empreintes informatiques de plus de 1000 développeurs trouvées

Le président de Microsoft, Brad Smith, a déclaré que l'analyse d’une campagne de piratage informatique, qui a utilisé une entreprise technologique américaine comme tremplin pour compromettre un ensemble d'agences gouvernementales américaines, montre que cette cyberattaque est « la plus grande et la plus sophistiquée attaque que le monde ait jamais vue ». S'exprimant dans le cadre de l'émission 60 Minutes de CBS, Smith a déclaré que le code derrière la porte dérobée introduite dans un logiciel populaire par les cybercriminels est le travail d'un millier de développeurs ou plus.

En mars 2020, alors que le coronavirus se propageait de manière incontrôlée à travers les États-Unis, les cybercriminels russes présumés ont libéré leur propre contagion en sabotant une mise à jour d’un produit logiciel de surveillance de réseau appelé Orion et développé par la société SolarWinds. La porte dérobée aurait pu compromettre les réseaux informatiques de jusqu'à 18 000 clients de SolarWind, dont ceux des Départements de l’État américain et ceux des sociétés privées.

Les espions russes ont eu le temps de fouiller dans les fichiers numériques des ministères américains de la Justice, de l'État, du Trésor, de l'Énergie et du Commerce et, pendant neuf mois, ils ont non seulement eu un accès illimité à des courriels, mais probablement aussi aux communications de haut niveau, aux documents judiciaires et même aux secrets nucléaires. Les enquêteurs du privé et du gouvernement avaient déjà qualifié l'attaque de sans précédent par son audace et son ampleur.

Le président de Microsoft, Brad Smith, confirme cela et suggère même que les cyberespions seraient toujours dans des réseaux ciblés. Les experts en cybersécurité ont déclaré qu'il pourrait falloir des mois pour identifier les systèmes compromis et expulser les pirates. « Je pense que du point de vue du génie logiciel, il est probablement juste de dire que c'est l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue », a déclaré Smith lors de l’interview diffusée dimanche.

Les services de renseignements américains ont déclaré le mois dernier que la Russie était "probablement" derrière la brèche de SolarWinds, qui, selon eux, semblait viser à collecter des renseignements plutôt qu'à commettre des actes de destruction. Mais la Russie a nié toute responsabilité dans la campagne de piratage. Donald Trump avait minimisé l’attaque en janvier alors qu’il était encore à la Maison-Blanche, et a tenté de disculper la Russie tout attribuant, plutôt, la cyberattaque aux espions chinois.

Microsoft affirme avoir trouvé les empreintes de plus de 1000 développeurs lors de l'attaque de SolarWinds

"SolarWinds Orion" est constitué de millions de lignes de code informatique. 4032 d'entre elles ont été réécrites clandestinement et distribuées aux clients lors de la mise à jour de routine, ouvrant ainsi une porte dérobée secrète aux réseaux infectés. Microsoft a chargé 500 ingénieurs de se pencher sur cette attaque. L'un d'entre eux l'a comparé à un tableau de Rembrandt, plus ils regardaient de près, plus de détails apparaissaient.

« Lorsque nous avons analysé tout ce que nous avons vu chez Microsoft, nous nous sommes demandé combien d'ingénieurs ont probablement travaillé sur ces attaques. Et la réponse à laquelle nous sommes arrivés est, eh bien, certainement plus de 1000 », a déclaré Smith. Il n'a pas dit pour qui ces 1000 développeurs travaillaient, mais il a comparé le piratage de SolarWinds aux attaques contre l'Ukraine qui avaient été largement attribuées à la Russie.

« Je pense que lorsque vous regardez la sophistication de cet attaquant, il y a un avantage asymétrique pour quelqu'un qui joue à l'offensive », a répondu Smith lorsqu’on lui a demandé la raison pour laquelle l’attaque a pu passer sous les radars de Microsoft. « Il est presque certain que ces attaques continuent ».

« Ce que nous voyons est la première utilisation de cette tactique de perturbation de la chaîne d'approvisionnement contre les États-Unis », a-t-il déclaré. « Mais ce n'est pas la première fois que nous en sommes témoins. Le gouvernement russe a vraiment développé cette tactique en Ukraine ».

L’émission 60 Minutes a également mis en vedette le PDG de FireEye, Kevin Mandia. FireEye a également été victime de l'attaque de SolarWinds et Mandia a révélé comment son entreprise a repéré l'attaque lorsqu'une tentative d'authentification à deux facteurs a éveillé les soupçons.

« Un employé de FireEye se connectait, mais la différence était que notre personnel de sécurité a regardé la connexion et nous avons remarqué que l'individu avait deux téléphones enregistrés à son nom », a-t-il déclaré. « Alors notre employé de sécurité a appelé cette personne et nous lui avons demandé : "Hé, avez-vous vraiment enregistré un deuxième appareil sur notre réseau ? Et notre employé a répondu : "Non, ce n'était pas moi" ».

Suspicieux, FireEye a mené des investigations plus avancées et a vu des intrus se faisant passer pour ses employés et fouinant dans leur réseau, volant les outils exclusifs de FireEye pour tester les défenses de ses clients et les rapports de renseignement sur les cybermenaces actives. Les pirates n'ont laissé aucune preuve de leur intrusion - pas d'expédition de phishing, pas de logiciels malveillants.

Le monde ne serait peut-être pas encore au courant du piratage si ce n'était de FireEye, une société de cybersécurité dirigée par Kevin Mandia, un ancien officier de renseignement de l'armée de l'air. La mission principale de FireEye est de détecter et expulser les cyberintrus des réseaux informatiques de leurs clients - principalement des gouvernements et des grandes entreprises. Mais FireEye utilise le logiciel de SolarWinds, qui a transformé le cyberchasseur en proie.

Une agence de renseignement étrangère serait à l’origine de cette attaque

« Je pense que cette liste de cibles nous dit qu'il s'agit clairement d'une agence de renseignement étrangère. Elle expose potentiellement les secrets des États-Unis et d'autres gouvernements ainsi que des entreprises privées. Je pense que personne ne sait avec certitude comment toutes ces informations seront utilisées. Mais nous savons ceci : elles sont entre de mauvaises mains », a déclaré le président de Microsoft.

Selon lui, il est presque certain que les pirates ont créé des portes dérobées supplémentaires qui se sont répandues sur d'autres réseaux. Le Département de la Sécurité intérieure, le FBI et les services de renseignement sont tombés d'accord le mois dernier sur l’identité du principal suspect : le SVR, l'une des nombreuses agences d'espionnage russes que les États-Unis qualifient de « menaces persistantes avancées ».

Pendant des années, les Russes ont testé leurs cyberarmes sur l'Ukraine. NotPetya, une attaque menée en 2017 par le GRU, l'agence d'espionnage militaire russe, a utilisé les mêmes tactiques que l'attaque de SolarWinds, sabotant un logiciel largement utilisé pour s'introduire dans des milliers de réseaux ukrainiens.

Selon d'autres personnes interrogées dans l’émission, les attaquants exploitaient un point aveugle des défenses américaines en s'exécutant sur des serveurs hébergés en Amérique même. La plupart des cyberdéfenses américaines s'intéressent à l'activité au-delà des frontières du pays et supposent que le secteur privé américain s'occupe de lui-même.

« Le gouvernement ne regarde pas les réseaux du secteur privé. Il ne surveille pas les réseaux du secteur privé. C'est une responsabilité qui est confiée au secteur privé. FireEye l'a trouvé sur le leur, beaucoup d'autres ne l'ont pas fait. Le gouvernement ne l'a pas trouvé sur leur réseau, c'est donc une déception », a déclaré Chris Inglis, qui a passé 28 ans au sein de l'Agence de sécurité nationale - dont sept ans en tant que directeur adjoint - et qui siège aujourd'hui à la Commission du solarium du cyberespace, créée par le Congrès pour proposer des stratégies de défense du domaine numérique américain.

Maintenant que l’ennemi est à l’intérieur, il est difficile de le faire sortir complètement des systèmes gouvernementaux infectés, attribuant ainsi un héritage perturbant de cyberguerre entre les États-Unis et la Russie à la nouvelle administration Biden.

Source : Interview de Brad Smith

Et vous ?

Qu’en pensez-vous ?
Selon vous, comment débarrasser l’ensemble des réseaux infectés de cette porte dérobée ?

Voir aussi :

Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre
La vaste campagne de piratage informatique a atteint Microsoft, qui qualifie la violation de la chaîne d'approvisionnement contre SolarWinds d'« acte d'imprudence »
L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus