Le code de solarwinds est proprement catastrophique
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Le code de solarwinds est proprement catastrophique
SolarWinds dispose de deux portes dérobées dans Orion indépendantes l'une de l'autre. source Ziff Davis
La sonde Einstein de l'administration US n'est pas "heuristique" = grosse faiblesse comme dit dans la news.
L'Etat américain rémunère au plus bas du marché ses consultants en sécurité. Cela implique que ce ne sont malheureusement pas les meilleurs qui, eux, se retrouvent dans le privé, plus lucratif. source Ars Technica
Les recommandations du GAO sont sur la table depuis fin 2018 et ont été rapportées par le sénateur démocrate du comité du Congrés à la cybersécurité. Peu d'entres elles sont appliquées. Voire pas du tout. source Ziff Davis
De tous ces éléments, je tire comme conclusion que l'Etat américain peut se défendre des petits rigolos dans mon genre mais certainement pas contre un groupe de pirates déterminés.
La France n'est pas concernée par cette attaque, ni l'OTAN. Et même si c'était le cas, les attaquants n'auraient pas pu se déplacer dans le réseau comme ils l'ont fait aux Etats-Unis.
Rien de bien choquant dans le process des hackers...C'est ce que vous apprenez avec la certif Hacker Ethic...pratique comprise...
C'est sacrément humiliant pour SolarWind. Après, tu peux mettre autant de protection que tu veux. Le temps qu'il est possible d'y accéder....
Le problème est qu'il n'y a aucune sécurité justement, le code de solarwinds expose plusieurs services WCF avec aucun mécanisme de sécurité activé, il n'y a pas non plus de vérification des inputs. Leur code est un énorme bordel tout est à jeter. Le mot de passe de leur serveur de MAJ est une farce, ils ont signé leurs assembly mais la clef traine partout sur le web. Ce sont des quiches total, l'ensemble de leur soft doit être jeté à la benne le plus vite possible.Envoyé par MRSizok
Un ex-conseiller de SolarWinds a mis en garde contre le laxisme de la sécurité des années avant le piratage
Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage,
Mais son plan pour réduire les risques aurait été ignoré
Un ancien conseiller en sécurité de SolarWinds a récemment déclaré qu'il avait averti la direction des risques liés à la cybersécurité et avait élaboré un plan il y a des années pour les améliorer. Ian Thornton-Trump avait déclaré à SolarWinds en 2017 que « la survie de l'entreprise dépend d'un engagement interne en matière de sécurité ». Mais les suggestions ont finalement été ignorées. Des clients d’un logiciel de gestion de réseaux de SolarWinds, dont plusieurs principales agences fédérales américaines et des sociétés privées, ont été victimes d’un cyberespionnage qui a duré plusieurs mois.
Ian Thornton-Trump travaillait chez LogicNow, une entreprise de Cloud Computing basée au Royaume-Uni, lorsqu'elle a été rachetée par SolarWinds en juin 2016. Avec près de deux décennies d'expérience dans le domaine de la cybersécurité, Thornton-Trump a déclaré qu'il avait aidé LogicNow à développer sa marque sur le marché de la sécurité.
Une présentation PowerPoint de 23 pages dans laquelle Thornton-Trump a recommandé aux dirigeants de l'entreprise en 2017 que SolarWinds nomme un directeur principal de la cybersécurité afin de s’engager dans une stratégie interne en matière de sécurité. Le conseiller en sécurité a remis le PowerPoint à au moins trois dirigeants de SolarWinds, tant du côté du marketing que de la technologie de la société, a-t-il dit.
Le mois suivant, il mettait fin à sa relation avec l'entreprise, affirmant que sa direction n'était pas intéressée par des changements qui auraient eu « un impact significatif », considérant une brèche majeure comme inévitable.
Dans un e-mail qu'il a envoyé à un dirigeant de SolarWinds le 15 mai 2017, qui expliquait les raisons de son départ, Thornton-Trump avait expliqué avoir « perdu confiance dans le leadership » de l'entreprise, qui selon lui semblait « réticent à apporter les corrections » qu'il jugeait nécessaires pour continuer à soutenir la marque de sécurité qu'il avait créée chez LogicNow.
« Il y avait un manque de sécurité au niveau du produit technique, et il y avait un leadership minimal en matière de sécurité au sommet », a déclaré Thornton-Trump dans une interview. « Nous savions en 2015 que les pirates cherchaient n'importe quelle voie vers une entreprise. Mais SolarWinds ne s'est pas adapté. C'est ça la tragédie. Il y avait beaucoup de leçons à apprendre, mais SolarWinds ne prêtait pas attention à ce qui se passait. »
Thornton-Trump ainsi qu'un ancien ingénieur en logiciel de SolarWinds ont déclaré qu'étant donné les risques de cybersécurité dans l'entreprise, ils considéraient une brèche majeure comme inévitable. Leurs inquiétudes concernant SolarWinds sont partagées par plusieurs chercheurs en cybersécurité, qui ont découvert ce qu'ils ont décrit comme des failles de sécurité flagrantes dans l'entreprise, dont les logiciels ont été utilisés dans une campagne de piratage informatique russe présumée.
« Je pense que du point de vue de la sécurité, SolarWinds était une cible incroyablement facile à pirater », a déclaré Thornton-Trump, aujourd'hui directeur de la sécurité informatique de la société de renseignements Cyjax Ltd.
Depuis la semaine dernière, 200 clients de la société SolarWinds, dont des agences gouvernementales américaines - le Département d'État, le DHS, le Trésor, le Département du Commerce et même l'Administration nationale de la sécurité nucléaire - et un nombre encore inconnu d'entreprises privées, y compris Microsoft et FireEye, ont vu leurs réseaux informatiques infectés par des pirates informatiques.
Au cours d'une opération que les experts en cybersécurité ont décrite comme extrêmement sophistiquée et difficile à détecter, les pirates ont installé un code malveillant dans les mises à jour du logiciel Orion de SolarWinds, largement utilisé, qui a été envoyé à pas moins de 18 000 clients.
D’autres failles découvertes dans les pratiques de sécurité de SolarWinds avant le piratage
En réagissant à une demande de commentaire à propos de la présentation de 2017 et sur d'autres problèmes de sécurité identifiés par des chercheurs, un porte-parole de SolarWinds a déclaré : « Notre priorité absolue est de travailler avec nos clients, nos partenaires industriels et les agences gouvernementales pour déterminer si un gouvernement étranger a orchestré cette attaque, pour mieux comprendre toute sa portée et pour aider à répondre aux besoins des clients qui se développent. Nous faisons ce travail aussi rapidement et de manière transparente que possible. Nous aurons tout le temps de regarder en arrière et nous prévoyons de le faire de manière tout aussi transparente ».
Un ancien employé de SolarWinds, qui a travaillé comme ingénieur logiciel dans l'un des bureaux américains de la société, a dit dans une déclaration que SolarWinds semblait donner la priorité au développement de nouveaux produits logiciels plutôt qu'aux défenses internes de cybersécurité. L'employé a déclaré qu'il n'était pas rare que certains des systèmes informatiques de l'entreprise fonctionnent avec des navigateurs Web et des systèmes d'exploitation obsolètes, ce qui pouvait les rendre plus vulnérables aux pirates.
D’autres chercheurs en cybersécurité ont également déclaré avoir découvert des failles dans les pratiques de sécurité de SolarWinds. L'un d'entre eux, Vinoth Kumar, a déclaré avoir informé SolarWinds en 2019 que le mot de passe d'un de ses serveurs avait fait l'objet d'une fuite en ligne. Le mot de passe, selon Kumar, était "solarwinds123". SolarWinds a dit à Kumar à l’époque que le mot de passe avait été visible en raison d'une « mauvaise configuration », et l'a supprimé.
En outre, jusqu'à récemment, SolarWinds conseillait à ses clients sur son site Web de désactiver le scannage de virus pour les produits de la plateforme Orion afin que ces produits puissent fonctionner plus efficacement, selon plusieurs chercheurs en cybersécurité qui ont publié un article à ce sujet sur Twitter. La page Web de SolarWinds a par la suite été retirée.
Jake Williams, un ancien hacker de l'Agence de sécurité nationale américaine qui est maintenant président de la société de cybersécurité Rendition Infosec, a déclaré que les entreprises technologiques telles que SolarWinds qui produisent du code informatique « ne font souvent pas bien la sécurité ».
« La sécurité est un centre de coûts, pas un centre de profit », a déclaré Williams. « Je pense que cela a probablement beaucoup à voir avec cela. Un problème sous-jacent à SolarWinds s'est probablement glissé dans certaines bonnes pratiques de sécurité manquantes ».
Tim Brown, ancien directeur de la technologie chez Dell Security, a été recruté par SolarWinds pour occuper le poste de vice-président de l'architecture de sécurité après le départ de Thornton-Trump. Dans une interview accordée à une publication spécialisée l'année dernière, Brown a déclaré qu'il travaillait à la protection des systèmes de SolarWinds contre les attaques. « Nous testons notre processus de réponse aux incidents tous les jours - au cas où quelque chose d'important nous arriverait de l'extérieur », a-t-il déclaré. « Nous avons eu de la chance, et c'est génial ». Lorsque des entreprises sont piratées, a ajouté Brown, c'est souvent de leur propre faute. « Si vous regardez les attaques qui ont réussi, la plupart d'entre elles ont été des erreurs stupides », a-t-il dit.
« La sécurité n'est pas une considération importante ni même bien comprise », a déclaré cette semaine Bryan Ware, ancien directeur adjoint de la CISA. « De nombreux directeurs de l'information ont acheté et déployé des logiciels SolarWinds sophistiqués, donc je ne m'interroge pas seulement sur le vendeur ».
Selon un rapport publié cette semaine, les pirates informatiques ont pu exploiter une vulnérabilité logicielle pour pénétrer dans les infrastructures critiques des agences américaines parce que le gouvernement fédéral ne procède qu'à des inspections de sécurité superficielles des logiciels qu'il achète à des entreprises privées pour un large éventail d'activités, de la gestion de bases de données à l'exploitation d'applications de chat internes.
Le sénateur démocrate Ron Wyden a déclaré que « Le gouvernement a désespérément besoin de fixer des exigences minimales de sécurité pour les logiciels et les services, et de refuser d'acheter tout ce qui ne répond pas à ces normes ». « Il est incroyablement contre-productif pour les agences fédérales de dépenser des milliards pour la sécurité et de donner ensuite des contrats gouvernementaux à des entreprises avec des produits non sécurisés ».
Sources : Ian Thornton-Trump, Tweet
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
À chaque fois que je vois ce genre de news je suis aussi dégoûté que ce personnage de CommitStrip.
Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft
Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft,
Qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
Microsoft a déclaré, il y a deux semaines, avoir détecté une mise à jour d’un logiciel de SolarWinds comportant une porte dérobée sur son réseau, mais un porte-parole a aussi dit que la société n’a trouvé aucune preuve d'accès à ces services de production ou aux données des clients. Reuters avait rapporté précédemment que les propres produits de Microsoft avaient été utilisés comme effet de levier dans l’attaque attribuée aux pirates informatiques russes. Jeudi dernier, Microsoft a maintenant déclaré que les cybercriminels à l'origine d'une brèche de sécurité massive contre le gouvernement américain ont également consulté une partie du code source de la société.
Microsoft avait précédemment reconnu avoir utilisé le logiciel de gestion de réseau de SolarWinds Orion, qui a donné aux attaquants une fenêtre potentielle sur des milliers d'organisations des secteurs public et privé. Un correctif logiciel a été utilisé par les cyberespions qui seraient liés à la Russie comme une porte dérobée potentielle dans les systèmes des victimes. Un porte-parole de Microsoft avait démenti l’essentiel d’un rapport de Reuters selon lequel ces cybercriminels avaient réussi à compromettre les réseaux du géant américain de logiciels.
L'Agence de sécurité nationale américaine a aussi publié en décembre un avis de cybersécurité détaillant comment certains services Cloud de Microsoft Azure ont pu être compromis par des pirates et enjoignant les utilisateurs à verrouiller leurs systèmes. Plusieurs agences fédérales américaines, y compris l'administration nationale de la sécurité nucléaire (NNSA) et le Département de l’Énergie (DOE), ainsi que des sociétés privées ont été piratées au cours de ce que les experts ont qualifié d’une campagne d’attaque sophistiquée.
« Comme d'autres clients de SolarWinds, nous avons recherché activement des indicateurs de cet acteur et pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants dans notre environnement, que nous avons isolés et supprimés. Nous n'avons trouvé aucune preuve d'accès aux services de production ou aux données des clients. Nos enquêtes, qui sont en cours, n'ont trouvé absolument aucune indication que nos systèmes ont été utilisés pour attaquer d'autres personnes », avait-il déclaré.
La divulgation de jeudi est la première fois que Microsoft a confirmé que les attaquants ont exploité la porte dérobée et profité de leur accès aux systèmes du géant de la technologie. Selon un billet de blog, Microsoft dit que les pirates informatiques ont consulté le code source de la société, le plan architectural d'un logiciel propriétaire potentiellement précieux. Microsoft, cependant, n'a pas spécifié le type de code source auquel les attaquants ont eu accès. Les intrus ont compromis le compte d'un employé par lequel ils ont consulté le code, a déclaré la société.
« Notre enquête a cependant révélé des tentatives d'activités allant au-delà de la simple présence de code SolarWinds malveillant dans notre environnement ». « Nous avons détecté une activité inhabituelle sur un petit nombre de comptes internes et après examen, nous avons découvert qu'un compte avait été utilisé pour consulter le code source dans plusieurs dépôts de code source », a déclaré la société dans son article de blog.
Les responsables du gouvernement américain ont déclaré en décembre que le simple téléchargement de la mise à jour de logiciel de SolarWinds ne constitue pas un piratage, mais il ne fait aucun doute que l'accès au code source en constitue un. Et ces derniers développements placent Microsoft, l'une des plus grandes entreprises de logiciels et de Cloud Computing au monde, parmi les victimes de l'une des campagnes de cyberespionnage les plus médiatisées de ces dernières années. La divulgation de Microsoft suggère également que l'espionnage d'entreprise pourrait avoir été un motif aussi bien qu'une chasse aux secrets gouvernementaux.
Le secrétaire d'État Mike Pompeo a publiquement accusé les Russes d'être les auteurs de cette campagne massive de cyberespionnage. Le président Trump a, quant à lui, cherché à détourner les soupçons contre la Russie, suggérant sans fondement que la Chine pourrait être le coupable. Il a même supposé que la cyberattaque aurait touché le système de vote en novembre. Des experts et d’autres officiels américains pensent également que le service de renseignement étranger de Moscou est derrière l'opération.
Les pirates informatiques n’ont pas modifié le code source, selon Microsoft
Le code source - l'ensemble des instructions sous-jacentes qui font fonctionner un logiciel ou un système d'exploitation - fait généralement partie des secrets les mieux gardés d'une entreprise technologique et Microsoft a toujours été particulièrement prudent pour le protéger. Plusieurs dépôts de code de Microsoft ont pourtant été consultés lors de l’attaque. Mais la société a déclaré que les pirates n'avaient pas l'autorisation de modifier le code ou les systèmes d'ingénierie.
« Le compte n'avait pas l'autorisation de modifier le code ou les systèmes techniques et notre enquête a confirmé qu'aucune modification n'avait été effectuée. Ces comptes ont fait l'objet d'une enquête et de mesures correctives », lit-on dans le billet. « Cette activité n'a pas mis en danger la sécurité de nos services ou des données de nos clients, mais nous voulons être transparents et partager ce que nous apprenons en luttant contre ce que nous pensons être un acteur très sophistiqué de l'État-nation ».
Bien que l'entreprise souligne que l'intrusion n'a pas mis en danger la sécurité de ses services ou des données de ses clients, certains experts affirment que l'accès au code source – ne serait-ce qu'à des fins de visualisation – pourrait potentiellement permettre aux pirates de mener des actes malveillants.
« Les intrus peuvent rechercher dans le code source des failles logicielles qu'ils pourraient exploiter, ajoutant ainsi de nouvelles armes à leur arsenal de cyberguerre », a déclaré Mike Chapple, professeur d'informatique à l'Université de Notre Dame et ancien informaticien de l'Agence nationale de sécurité.
« Avoir accès au code source donne aux pirates informatiques le plan de la création du logiciel et facilite la tâche. L'accès au code source donne aux pirates informatiques le schéma directeur de la création du logiciel et leur permet de découvrir plus facilement de nouvelles vulnérabilités », a déclaré Chapple, qui a quitté la NSA en 2001. « Les pirates peuvent toujours essayer de faire de l'ingénierie inverse sur les vulnérabilités des logiciels, mais le fait d'avoir le code source leur donne un raccourci », a-t-il déclaré.
Malgré l’accès au code source, « L'enquête, qui est en cours, n'a également trouvé aucune indication que nos systèmes ont été utilisés pour attaquer d'autres personnes », a déclaré la société.
Cependant, Mike Chapple a déclaré que les attaquants étaient probablement à la recherche de failles de sécurité potentielles dans les produits Microsoft qu'ils pourraient exploiter pour accéder aux utilisateurs de ces produits. « Les professionnels de la cybersécurité doivent maintenant s'inquiéter du fait que ces informations tombant entre de mauvaises mains pourraient créer la prochaine vulnérabilité de niveau SolarWinds dans un produit Microsoft », a-t-il déclaré.
Toutefois, Microsoft a déclaré que ses pratiques de sécurité commencent par supposer de manière préventive que les pirates ont déjà accès au code source de l'entreprise, et protège ses services en conséquence. « Nous ne nous appuyons pas sur le secret du code source pour la sécurité des produits, et nos modèles de menace supposent que les attaquants ont connaissance du code source », a déclaré la société. « Donc, la consultation du code source n'est pas liée à l'élévation du risque ».
Au début de ce mois, le président de Microsoft, Brad Smith, a déclaré que l'attaque était un « moment de réflexion » et a mis en garde contre le danger qu'elle représentait. « Il ne s'agit pas d'espionnage comme d'habitude », a déclaré Smith. « En effet, il ne s'agit pas seulement d'une attaque contre des cibles spécifiques, mais contre la confiance et la fiabilité des infrastructures critiques du monde afin de faire progresser l'agence de renseignement d'une nation ».
La modification du code source – que les pirates n'ont pas pu faire, selon Microsoft – pourrait avoir des conséquences potentiellement désastreuses étant donné l'omniprésence des produits Microsoft, qui comprennent la suite bureautique Office et le système d'exploitation Windows. Andrew Fife de Cycode, une société israélienne de protection du code source, a dit dans une déclaration : « Le code source est le plan architectural de la façon dont le logiciel est construit ». « Si vous avez le plan, il est beaucoup plus facile de concevoir des attaques ».
Reuters a rapporté il y a moins de deux semaines que des revendeurs autorisés par Microsoft ont été piratés et que leur accès à des programmes de productivité à l'intérieur des cibles a été utilisé pour tenter de lire des courriels. Microsoft a reconnu que l'accès de certains fournisseurs a été mal utilisé, mais n'a pas dit combien de revendeurs ou de clients ont pu être piratés, d’après Reuters. Par ailleurs, Reuters a rapporté le jeudi, en citant des sources bien informées, que Microsoft savait depuis des jours que ses dépôts de code source avaient été consultés, avant de l’annoncer jeudi.
Ronen Slavin, directeur de la technologie de Cycode, a déclaré, selon Reuters, qu'une question clé sans réponse était de savoir quels dépôts de code source étaient accessibles. Microsoft propose une vaste gamme de produits, allant de Windows, largement utilisé, à des logiciels moins connus tels que l'application de réseau social Yammer et l'application de design Sway.
Slavin s'est dit inquiet de la possibilité que les hackers de SolarWinds se penchent sur le code source de Microsoft en prélude à une offensive beaucoup plus ambitieuse. « Pour moi, la plus grande question est de savoir si cette reconnaissance était destinée à la prochaine grande opération », a-t-il déclaré.
Selon des sources du gouvernement américain et du secteur privé, le nombre total de victimes - d'agences et d'entreprises ayant vu des données volées - devrait se compter tout au plus par centaines, et non par milliers comme beaucoup le craignaient auparavant. Pour l’heure, Microsoft et le gouvernement américain poursuivent leurs enquêtes sur les brèches, une tâche qui devrait prendre des mois.
Source : Microsoft
Et vous ?
Voir aussi :
Bonsoir,
On voit que l’élection des démocrates ravivent les tensions US/RU. Tout est au conditionnel et il difficile de certifier que cela vient de Russie ...États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale, et semblait être destiné à la « collecte de renseignements »
Qu’en pensez-vous ?
A force d'espionner le monde , c'est l’arroseur arrosé ... Pour une fois que les USA ont trouvé "plus fort" ... ils peinent à identifier d’où vient l'attaque . Comme quoi on ne peut pas toujours être "le leader" tout le tempsPourquoi cette déclaration a tardé à être publiée, selon vous ?
Ennemie de l’intérieur difficilement identifiable. Un cheval de Troyes en somme. Un service a pu être une "mule" sans le savoir du coup il est quasi impossible d'identifier la source externe de l'attaquant ...Qu’est-ce qui change dans l’attaque et la réponse des agences, maintenant que les auteurs sont officiellement connus ?
Il y a du avoir tellement une honte que les chiffres ont de fortes chances d'être volontairement tronqués . Solution 2 ils n'ont pas encore découverts tout le poteau rose !Moins de 10 agences gouvernementales américaines ont été touchées par la cyberattaque, selon la déclaration. Quels commentaires en faites-vous ?
Les enquêteurs de Kaspersky pourraient avoir identifié les hackers de la société texane SolarWinds
Les enquêteurs de Kaspersky pourraient avoir identifié les hackers de la société texane SolarWinds
il s'agirait du groupe russe de pirates informatiques Turla
SolarWinds a été la cible d'une importante campagne de piratage qui a duré sur plusieurs mois (de mars à décembre 2020 environ) et qui a permis aux attaquants de compromettre des données de près de 1800 organisations. Après une enquête approfondie, les enquêteurs de la société de cybersécurité Kaspersky, basée à Moscou, ont affirmé ce lundi que les pirates de SolarWinds ont utilisé un outil qui ressemble énormément à un logiciel malveillant lié à un groupe de piratages informatiques connu sous le nom de "Turla". Cette conclusion vient étayer les accusations de Washington, déclarant que la Russie était derrière ce piratage.
Kaspersky trouve les preuves d'une probable implication de la Russie
En effet, lors du piratage du logiciel SolarWinds, certains des secrets les plus profondément enfouis des États-Unis ont peut-être été volés. Quels types de données les pirates informatiques ont-ils pu drainer pendant tout ce temps ? Des secrets nucléaires ? Des données sur le vaccin Covid-19 ? Des plans pour la prochaine génération de systèmes d'armes ? L'ombre plane toujours sur la véritable nature des données compromises, et il faudra encore des semaines, voire des années dans certains cas, pour que les détectives numériques passent au peigne fin les réseaux du gouvernement américain et de l'industrie privée pour obtenir les réponses.
Dans une déclaration commune la semaine dernière, le FBI, la NSA, l'Agence de cybersécurité et de sécurité des infrastructures et le Bureau du directeur du renseignement national ont déclaré avoir identifié "moins de 10" agences fédérales américaines comme ayant été potentiellement compromises. Seuls les départements américains du Commerce, de l'Énergie et du Trésor ont reconnu avoir été piratés, aux côtés de sociétés telles que Microsoft et la société de cybersécurité FireEye.
Selon les experts, ces pirates informatiques sont des professionnels accomplis qui savent brouiller les pistes. Certains vols peuvent ne jamais être détectés. Randy Watkins, le directeur de la technologie de la société de cybersécurité Critical Start, basée au Texas, a déclaré que les objectifs des pirates peuvent être aussi bien financiers que le vol et la destruction de données. Ce qui semble clair, c'est que cette campagne, qui selon les experts en cybersécurité, présente les tactiques et les techniques de l'agence de renseignement russe SVR sera l'une des plus prolifiques dans les annales du cyberespionnage.
Ce lundi, les enquêteurs de Kaspersky ont déclaré que le groupe à l'origine de la campagne mondiale de cyberespionnage de SolarWinds a utilisé un code informatique malveillant avec des liens vers des outils d'espionnage utilisés auparavant par des pirates informatiques russes présumés. Selon ces chercheurs, la "porte dérobée" qui a été utilisée pour compromettre jusqu'à 1800 clients, y compris des agences gouvernementales américaines, du fabricant de logiciels américain ressemblait beaucoup à un logiciel malveillant lié au groupe de piratage informatique "Turla".
Les chercheurs Georgy Kucherin, Igor Kuznetsov et Costin Raiu concluent que la porte dérobée appelée "Sunburst" utilisée pour communiquer avec un serveur contrôlé par les pirates ressemblait à un autre outil de piratage appelé "Kazuar", qui avait été précédemment attribué à l'APT Turla (menace persistante avancée). Selon un rapport du Financial Time, les autorités estoniennes ont révélé il y a de cela deux ans que ce groupe opère au nom du service russe de sécurité FSB. Cependant, les enquêteurs de Kaspersky ont averti que les similitudes de code ne confirment pas que le groupe est derrière l'attaque de l'infrastructure de SolarWinds.
Toutefois, ces conclusions sont les premières preuves publiquement disponibles pour soutenir les affirmations des États-Unis selon lesquelles la Russie a orchestré le piratage, qui a compromis un ensemble d'agences fédérales sensibles et qui est parmi les cyberopérations les plus ambitieuses jamais divulguées. Moscou a nié ces allégations à plusieurs reprises et le FSB n'a pas répondu à une demande de commentaires. Costin Raiu, responsable de la recherche et de l'analyse mondiale chez Kaspersky, a déclaré qu'il y avait trois similitudes distinctes entre Sunburst et Kazuar de Turla.
Les similitudes comprennent la façon dont les deux logiciels malveillants ont tenté de cacher leurs fonctions aux analystes de sécurité, la façon dont les pirates ont identifié leurs victimes, et la formule utilisée pour calculer les périodes de dormance des virus afin d'éviter la détection. Il reste à déterminer s'il s'agit de coïncidence ou simplement de l'œuvre du groupe Turla. « Néanmoins, ce sont de curieuses coïncidences », a déclaré Raiu. « Une coïncidence ne serait pas si inhabituelle, deux coïncidences feraient définitivement sourciller, tandis que trois coïncidences de ce type nous semblent plutôt suspectes ».
Des choses restent à déterminer avant de confirmer l'implication de Turla
Les attaques de Turla ont été documentées depuis au moins 2008, lorsque le groupe était soupçonné d'avoir infiltré le commandement central américain. Plus tard, Turla a été impliqué dans des attaques contre des ambassades dans un certain nombre de pays, des ministères, des services publics, des prestataires de soins de santé et d'autres cibles. Plusieurs sociétés de cybersécurité ont déclaré qu'elles pensaient que l'équipe de piratage était russe, et un rapport des services de renseignement estoniens datant de 2018 indique que le groupe est "lié au service de sécurité fédéral, le FSB".
Ciaran Martin, ancien chef du NCSC (UK’s National Cyber Security Centre - Centre national de cybersécurité du Royaume-Uni) et maintenant professeur à l'école Blavatnik de l'Université d'Oxford, a déclaré que l'impact des découvertes de Kaspersky pourrait être important. « Certaines parties de l'État russe ne font que pirater à des fins d'espionnage ; d'autres ont un bilan plus sinistre d'attaques perturbatrices après un premier piratage. Il est donc très important de comprendre exactement quelle partie de la Russie est derrière SolarWinds », a-t-il déclaré.
« Je suis sûr que le gouvernement américain et ses partenaires examinent de très près toutes ces preuves », a-t-il ajouté, tout en précisant que jusqu'à présent, il n'y avait aucune preuve que le piratage de SolarWinds a été motivé par "autre chose que de l'espionnage". La porte dérobée Sunburst utilisée lors de la récente attaque a permis aux pirates de recevoir des rapports sur les ordinateurs infectés et de cibler ensuite ceux qu'ils jugeaient intéressants pour une exploitation ultérieure. La grande majorité des 18.000 machines infectées n'ont pas été référées pour une exploitation ultérieure, ce qui montre que l'attaque a été très ciblée.
Cela dit, malgré la forte ressemblance entre Sunburst et Kazuar, les chercheurs rappellent toujours qu'attribuer avec certitude les cyberattaques est extrêmement difficile et parsemé d'embûches possibles. Plusieurs points sont à éclaircir lors d'une cyberattaque avant de pouvoir l'imputer convenablement à un auteur. Par exemple, ils ont rappelé que lorsque les pirates informatiques russes ont perturbé la cérémonie d'ouverture des Jeux olympiques d'hiver en 2018, ils ont délibérément imité un groupe nord-coréen pour essayer de détourner les responsabilités.
Raiu estime que les indices numériques découverts par son équipe n'impliquaient pas directement Turla dans la compromission de SolarWinds, mais montraient qu'il y avait un lien encore à déterminer entre les deux outils de piratage. Selon lui, il est possible qu'ils aient été déployés par le même groupe, mais aussi que Kazuar ait inspiré les pirates de SolarWinds, que les deux outils aient été achetés auprès du même développeur de logiciels espions, ou même que les attaquants aient placé de "faux drapeaux" pour tromper les enquêteurs.
Les équipes de sécurité aux États-Unis et dans d'autres pays travaillent toujours pour déterminer l'étendue du piratage de SolarWinds, il faudra probablement plusieurs mois aux équipes de sécurité pour expulser les pirates des réseaux victimes.
Source : Kaspersky
Et vous ?
Voir aussi
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Bof, rien de nouveau sous le soleil. En fonction du moment, toute action de hacking aux USA a pour origine la Chine, la Russie, la Corée du Nord ou l'Iran.Les enquêteurs de Kaspersky pourraient avoir identifié les hackers de la société texane SolarWinds. Il s'agirait du groupe russe de pirates informatiques Turla
Certains appliquent simplement une règle marketing de base: Toujours faire plaisir à son client!
Pas sûr que l'information de Kaspersky ferait la une des médias américains si la conclusion était que les hackers étaient strasbourgeois!
Les cybercriminels proposent de vendre à Microsoft et Cisco plus de code source lié à l'incident SolarWinds
Les pirates informatiques proposent de vendre à Microsoft et Cisco davantage de code source lié à l'incident Solarwinds,
Et offrent l'accès au code source de Windows 10 volé pour 600 000 dollars
Microsoft a été piraté par un groupe de pirates informatiques lié à la Russie qui a compromis les réseaux du fabricant de logiciels SolarWinds et de plusieurs agences fédérales américaines, ainsi que plusieurs sociétés privées. Microsoft a confirmé l’accès à son code source, mais la société a affirmé qu'il n'y a aucune preuve que cette activité ait mis en danger la sécurité des services de Microsoft ou des données des clients. Maintenant les attaquants, qui prétendent être responsables de l'attaque de la chaîne d'approvisionnement de SolarWinds, affirment qu'ils ont des données de leurs exploits qu'ils souhaitent vendre.
Parmi les données proposées figurent le code source partiel de Microsoft Windows, le code source de plusieurs produits Cisco, le code source des produits SolarWinds et les outils FireEye Red Team. L'attaque contre SolarWinds a été révélée en décembre, peu après que FireEye ait révélé le 9 décembre qu'il avait été compromis et s'était fait voler ses outils Red Team. Cinq jours plus tard, FireEye a publié des détails sur des attaques utilisant un malware qu'il a appelé Sunburst ; il a déclaré que ce malware avait été utilisé pour frapper des entités privées et publiques, en corrompant le logiciel de gestion de réseau Orion, un produit de SolarWinds.
Le groupe qui offre en vente le code source a créé des sites, tant sur Internet que sur le dark web, et a publié des détails sur ce qu'il est censé posséder, faisant le tout pour un million de dollars. L'accès au code source de Windows 10 revient à Microsoft pour 600 000 dollars. Solarleaks.net, c’est la page Web qui contient les informations sur les données volées. Les cybercriminels promettent même du bonus aux éventuels acheteurs : « All leaked data for 1,000,000 USD (+ bonus) ».
La nouvelle a été rapportée premièrement par le chercheur en sécurité Jake Williams, fondateur de Rendition Infosec et ancien hacker de la NSA. Williams a d’abord averti que tout cela semblait être une ruse, que les pirates informatiques, qui semblent être le groupe russe bien connu sous le nom de Shadow Brokers, pourraient simplement essayer de brouiller les pistes, et non de prendre l'offre au pied de la lettre.
« Il n'y a pas de viande sur cet os tant qu'il n'y en a pas d'autres », a-t-il tweeté dans son fil de discussion. « Les seules choses à prendre en compte sont : Nous avons déjà vu des acteurs de la menace russe utiliser ce type de fausse piste pour brouiller les pistes d'attribution ; il ne faut pas se laisser avoir. C'est tout. C'est toute l'histoire ».
La cyberattaque que les experts en cybersécurité et les officiels du gouvernement américains ont tous décrite comme une attaque sophistiquée a fait plusieurs victimes et non des moindres parmi les agences fédérales américaines. Les Départements du Tresor, du Commerce, de l’Energie, l'administration nationale de la sécurité nucléaire et autre. Les agences de sécurité nationale continuent à travailler pour en savoir plus sur le piratage, mais une déclaration du Cyber Unified Coordination Group (UCG), composé du FBI, CISA, ODNI et NSA, a révélé que la violation a touché les réseaux de moins 10 agences fédérales américaines et de plusieurs grandes entreprises technologiques.
Alors que le groupe a indiqué dans sa déclaration que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre, les enquêteurs de la société de cybersécurité Kaspersky, basée à Moscou, sont allés plus loin en affirmant lundi qu’il s'agirait du groupe russe de pirates informatiques Turla.
Ces enquêteurs ont conclu que la porte dérobée appelée "Sunburst" utilisée pour communiquer avec un serveur contrôlé par les pirates ressemblait à un autre outil de piratage appelé "Kazuar", qui avait été précédemment attribué à l'APT Turla. Selon un rapport du Financial Time, les autorités estoniennes ont révélé il y a de cela deux ans que ce groupe opère au nom du service russe de sécurité FSB. Cependant, les enquêteurs de Kaspersky ont averti que les similitudes de code ne confirment pas que le groupe est derrière l'attaque de l'infrastructure de SolarWinds.
Microsoft est l’une des victimes du piratage. Le 31 décembre, Microsoft, qui s’était auparavant limité à la présence sur son réseau d’une mise à jour malveillante du produit de gestion de réseau de SolarWinds Orion, a divulgué avoir « détecté une activité inhabituelle sur un petit nombre de comptes internes et après examen, nous avons découvert qu'un compte avait été utilisé pour consulter le code source dans plusieurs dépôts de code source ».
La société a ensuite dit que le compte utilisé par les cybercriminels n'avait pas l'autorisation de modifier le code ou les systèmes techniques, par conséquent aucune modification n'avait été effectuée dans les dépôts de code. Microsoft a également affirmé que la consultation du code source n'augmente pas le risque, car l'entreprise ne dépend pas du secret du code source pour la sécurité des produits.
Le groupe qui propose de vendre le code volé pourrait être le vrai groupe à l'origine de l'incident SolarWinds
Selon les experts, les pirates informatiques à l’origine du piratage de SolarWinds sont des professionnels accomplis qui savent brouiller les pistes. Certains vols peuvent ne jamais être détectés. Randy Watkins, le directeur de la technologie de la société de cybersécurité Critical Start, basée au Texas, a déclaré que les objectifs des pirates peuvent être aussi bien financiers que le vol et la destruction de données. Ce qui semble clair, c'est que cette campagne sera l'une des plus prolifiques dans les annales du cyberespionnage.
Après avoir écrit que cette offre de vente de code pourrait être une tactique pour brouiller les pistes d'attribution, Jake Williams a ensuite quelque peu changé de position, en écrivant : « Une dernière réflexion sur #solarLeaks : la prétendue vente n'est faite que pour des choses commercialement intéressantes, pas pour des données ayant une valeur de renseignement. Le fait qu'aucune donnée de renseignement (Trésor, Commerce, etc.) n'ait été proposée suggère qu'il pourrait s'agir du vrai groupe », a-t-il tweeté.
« Un arnaqueur pure play proposerait probablement des données présumées provenant de ces organisations aussi. Il pourrait même faire mordre à l'hameçon d'autres organisations du renseignement. À ces prix, personne n'achète ces données commerciales, donc je penche encore pour une erreur d'attribution ».
« La pertinence de l'expression "aucune donnée ayant une valeur de renseignement" est juste que je ne pense pas que la plupart des escrocs auraient pensé cela (plus de données annoncées == plus d'opportunités). Je m'attendrais également à ce qu'ils baissent les prix à un niveau peut-être plus raisonnable dans l'espoir d'obtenir quelqu’un morde ».
Le groupe Shadow Brokers a initialement proposé de vendre les exploits qu'ils avaient obtenus de la NSA au plus offrant. Cependant, dans ce cas, leurs affirmations se sont avérées exactes, puisqu'ils ont ensuite divulgué tous ces exploits sur le Web en 2016. Après avoir fait un petit discours, notamment sur les élections présidentielles aux États-Unis, pouvoir d’achat, guerre numérique et bien d’autres, le collectif a donné accès à un lien, mot de passe à la clé, pour les chercheurs désireux de mettre le grappin sur ces nouveaux éléments.
Certains d'entre eux, comme le célèbre exploit Eternal Blue, ont été utilisés avec un effet révélateur dans des logiciels malveillants comme WannaCry. Malgré une longue enquête sur les courtiers, la NSA n'a pas encore déterminé l'identité des personnes qui composent le groupe. Pour cette dernière proposition, les pirates informatiques promettent sur leur page Weg que « D’autres informations sont à venir dans les prochaines semaines ».
Source : Solarleaks.net, Tweet (1 & 2)
Et vous ?
Voir aussi :
J'en pense que Solarwinds a embauché 2 experts en cybersécurité pour revoir de fond en comble la sécurité de l'entreprise et des softs (source Ziff Davis). Microsoft devrait peut-être faire de même pour son code. Mais à ces prix, seul des états pourront s'offrir ce que vendent les pirates. Et pour la source, je pense que ce sont les pirates eux-mêmes à l'origine de ces révélations.
j y connais rien, mais les prix me semblent pas très élevés, qd on pense aux heures de travail derrière le code.
Le code de Windows n'est pas complètement fermé: Microsoft offre son code source pour inspection aux gouvernements partenaires qui en font la demande: https://docs.microsoft.com/en-us/sec.../onlinesources
Alors oui mais, comment savoir que le code source vu est bien le même qui tourne sur un pc ! Car ils peuvent nous montrer un code clean et un autre qui tourne totalement modifié.
SolarWinds corrige les vulnérabilités qui pourraient permettre un contrôle total du système
SolarWinds corrige les vulnérabilités qui pourraient permettre un contrôle total du système,
Alors que les enquêteurs ont découvert ce qui semble être la cause de la dernière cyberattaque
Les clients de SolarWinds sont invités à appliquer les nouveaux correctifs de sécurité après la découverte de trois vulnérabilités graves non divulguées auparavant, qui pourraient permettre aux attaquants d'abuser des outils d'administration informatique de l'entreprise pour prendre le contrôle des systèmes Windows. SolarWinds est la société dont l'outil de surveillance de réseau Orion a été le principal vecteur de l'une des plus graves brèches de l'histoire des États-Unis. Des attaquants ont compromis des mises à jour du produit logiciel qui ont ensuite été distribuées à 18 000 clients de la société.
Un chercheur du Trustwave SpiderLabs du nom de Martin Rakhmanov, a déclaré dans un article de blog mercredi qu'il avait commencé à analyser les produits SolarWinds peu après que FireEye et Microsoft ont signalé que des pirates informatiques avaient pris le contrôle de la chaîne d'approvisionnement de logiciels de SolarWinds et l'avaient utilisé pour distribuer des mises à jour contenant une porte dérobée aux clients d'Orion. Il ne lui a pas fallu longtemps pour trouver trois vulnérabilités, deux dans Orion et une troisième dans un produit connu sous le nom de Serv-U FTP pour Windows. Il n'y a aucune preuve qu'une de ces vulnérabilités a été exploitée dans la nature, selon le chercheur.
Trois vulnérabilités découvertes
La vulnérabilité la plus grave (suivie sous le nom de CVE-2021-25275) pourrait permettre aux attaquants d'exploiter une vulnérabilité dans la manière dont Orion fonctionne avec Microsoft Message Queue (MSMQ) - un outil qui existe depuis plus de 20 ans, mais qui n'est plus installé par défaut sur les machines Windows – pour accéder à des informations d'identification sécurisées dans le système de gestion et obtenir un contrôle complet sur l'ensemble du système Windows. Cela pourrait être utilisé pour voler des informations ou ajouter de nouveaux utilisateurs de niveau administrateur à Orion.
En fouillant dans la console de gestion de l'ordinateur Windows, Rakhmanov a rapidement obtenu les autorisations de sécurité suivantes pour l'une des dizaines de files d'attente privées qu'elle permettait. (Voir fenêtre ci-dessous)
« Il est assez difficile de passer à côté de ce bouclier d'avertissement qui montre que la file d'attente, comme toutes les autres, n'est pas authentifiée », a écrit le chercheur. « En bref, les utilisateurs non authentifiés peuvent envoyer des messages à de telles files d'attente sur le port TCP 1801. Mon intérêt a été éveillé, et je suis allé voir le code qui gère les messages entrants. Malheureusement, il s'est avéré être une victime de "désérialisation" dangereuse ».
Dans un avis de sécurité distinct publié le même jour, Trustwave SpiderLabs a décrit la faille de cette façon :
« Le "Collector Service" de SolarWinds utilise le MSMQ et ne définit pas de permissions sur ses files d'attente privées. Par conséquent, les clients distants non authentifiés peuvent envoyer des messages que le Collector Service traitera. De plus, lors du traitement de ces messages, le service les désérialise de manière non sécurisée, permettant ainsi l'exécution de code arbitraire à distance en tant que "LocalSystem" ».
La deuxième vulnérabilité d'Orion (suivie sous le nom de CVE-2021-25275) résulte du fait qu'Orion stocke les informations d'identification de la base de données de manière non sécurisée. Plus précisément, Orion conserve les informations d'identification dans un fichier lisible par les utilisateurs non privilégiés.
Alors que les fichiers protègent cryptographiquement les mots de passe, le chercheur a pu trouver un code qui convertit le mot de passe en texte en clair. Cela permet à toute personne pouvant se connecter à une boîte en local ou via le protocole Remote Desktop de pouvoir obtenir les informations d'identification pour le SolarWindsOrionDatabaseUser. Cela pourrait à nouveau conduire à un accès non autorisé à des systèmes et serveurs sensibles.
« L'étape suivante consiste à se connecter au serveur Microsoft SQL en utilisant le compte récupéré, et à ce stade, nous avons un contrôle total sur la base de données SOLARWINDS_ORION », a écrit Rakhmanov dans son article de blog. « À partir de là, on peut voler des informations ou ajouter un nouvel utilisateur de niveau admin pour être utilisé dans les produits SolarWinds Orion ».
La troisième vulnérabilité (suivie sous le nom de CVE-2021-25276) concernait SolarWinds Serv-U FTP et permet à toute personne pouvant se connecter localement – ou à distance via RDP – d'ajouter un compte administrateur et tous les privilèges que cela implique en matière d'accès au réseau et aux serveurs, ce qui pourrait donner à un attaquant l'accès à des informations sensibles.
« Toutes ces vulnérabilités ont le potentiel de compromettre complètement le serveur Windows qui exécute des logiciels précieux », a dit dans une déclaration Karl Sigler, threat intelligence manager chez Trustwave. « Orion n'est pas comme une suite Office, il est utilisé par votre administrateur réseau et d'autres personnes ayant de nombreux privilèges et accès à des données précieuses sur le réseau », a déclaré Sigler.
Trustwave a révélé ses conclusions à SolarWinds et des correctifs de sécurité ont été publiés pour combler les vulnérabilités et empêcher leur exploitation.
« Des vulnérabilités de divers degrés sont communes à tous les logiciels, mais nous comprenons que SolarWinds fait l'objet d'une surveillance accrue en ce moment. Les vulnérabilités annoncées par Trustwave concernant Orion 2020.2.4 ont été corrigées grâce à un correctif publié le 25 janvier 2021. Les vulnérabilités concernant Serv-U 115.2.2 seront corrigées par un correctif publié le 3 février 2021 », a déclaré un porte-parole de SolarWinds. « Nous nous sommes toujours engagés à travailler avec nos clients et d'autres organisations pour identifier et corriger de manière responsable les vulnérabilités de notre portefeuille de produits. L'annonce d'aujourd'hui s'inscrit dans ce processus ».
Il est donc recommandé aux organisations de mettre en place une stratégie pour appliquer le plus rapidement possible les correctifs de sécurité nécessaires pour se protéger contre les trois nouvelles vulnérabilités. Les correctifs arrivent au moment où SolarWinds s'efforce de résoudre son rôle dans un piratage majeur de ses clients. Par ailleurs, les enquêteurs de l’entreprise ont découvert ce qui pourrait être une cause première de la précédente campagne de cyberattaque.
Les pirates informatiques ont pu espionner les emails de Solarwinds pendant presque un an
Si les enquêteurs ont réussi à décortiquer le détail technique de la manipulation d’Orion par les attaquants qui ont investi les réseaux informatiques des principales agences fédérales des États-Unis, ils n’ont toujours pas trouvé de réponse à leur principale question, à savoir par quel biais les attaquants ont pénétré le réseau interne de SolarWinds.
Plusieurs hypothèses sont étudiées, et l’une d’entre elles vient de gagner en crédibilité avec la dernière déclaration de l’actuel CEO de l’entreprise, Sudhakar Ramakrishna, au Wall Street Journal le 2 février. Ramakrishna a déclaré : « Des comptes email ont été compromis. Les hackers s’en sont servis pour compromettre d’autres comptes email, et au final, c’est notre environnement Office 365 entier qui a été compromis ».
Les enquêteurs avaient déjà retrouvé des traces de l’activité des pirates informatiques, liés à la Russie selon le FBI, dans les systèmes datant de septembre 2019, et ils ont désormais identifié un compte email manipulé dès décembre 2019. Les cyberespions seraient parvenus à utiliser le compte pour corrompre d’autres adresses email, et se répandre au final sur l’intégralité des boîtes email. Ce qui signifie que pendant au moins neuf mois, et peut-être plus d’un an, les pirates ont pu épier les emails internes de l’entreprise et les discussions avec ses partenaires.
Cette déclaration montre que le chantier interne lancé par Ramakrishna semble porter ses fruits : l’enquête progresse certes lentement, mais elle apporte des réponses. Le nouveau CEO a pris ses fonctions le 7 janvier, à peine deux semaines après le déclenchement de la crise, et a donc dû prendre en main le dossier dès son arrivée. Le dirigeant avait accepté le poste début décembre, peu avant la découverte de l’opération de cyberespionnage.
Cette coïncidence est tombée à pic pour SolarWinds. Le prédécesseur de Ramakrishna, Kevin Thompson, comptable de formation, est resté à la tête du groupe pendant 10 ans. Il a certes fait exploser les bénéfices de l’entreprise, mais il a aussi vivement été critiqué pour ses décisions budgétaires. Et pour cause, il aurait grandement réduit le financement de la division de sécurité de l’entreprise, notamment en délocalisant une partie des équipes.
À l’inverse, Sudhakar Ramakrishna vient du monde de la sécurité. Il a fondé et dirigé pendant 5 ans Pulse Secure, un éditeur de VPN d’entreprise. Pendant cette période, il a déjà dû gérer une importante crise : un bug du VPN était exploité pour lancer des attaques au ransomware, selon un avis de la CNIL publié en août dernier. Arrivé chez SolarWinds, il a donc immédiatement renforcé les mesures de sécurité, et dépêché au chevet de l’entreprise des spécialistes du secteur parmi lesquels Crowdstrike et Microsoft. Pour marquer le coup médiatiquement, il a également fait appel à un duo composé de Chris Krebs, anciennement en poste de directeur du CISA de la Sécurité intérieure des États-Unis et Alex Stamos, ancien directeur de la sécurité chez Facebook.
La question qui reste en suspens chez les enquêteurs est de savoir si la compromission des boîtes email est un nouveau symptôme de la cyberattaque sophistiquée, ou bien sa cause première. Dans tous les cas, les enquêtes continuent chez Solarwinds.
Sources : Solarwinds, Trustwave(1 & 2)
Et vous ?
Voir aussi :
Le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée
Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée,
Les empreintes informatiques de plus de 1000 développeurs trouvées
Le président de Microsoft, Brad Smith, a déclaré que l'analyse d’une campagne de piratage informatique, qui a utilisé une entreprise technologique américaine comme tremplin pour compromettre un ensemble d'agences gouvernementales américaines, montre que cette cyberattaque est « la plus grande et la plus sophistiquée attaque que le monde ait jamais vue ». S'exprimant dans le cadre de l'émission 60 Minutes de CBS, Smith a déclaré que le code derrière la porte dérobée introduite dans un logiciel populaire par les cybercriminels est le travail d'un millier de développeurs ou plus.
En mars 2020, alors que le coronavirus se propageait de manière incontrôlée à travers les États-Unis, les cybercriminels russes présumés ont libéré leur propre contagion en sabotant une mise à jour d’un produit logiciel de surveillance de réseau appelé Orion et développé par la société SolarWinds. La porte dérobée aurait pu compromettre les réseaux informatiques de jusqu'à 18 000 clients de SolarWind, dont ceux des Départements de l’État américain et ceux des sociétés privées.
Les espions russes ont eu le temps de fouiller dans les fichiers numériques des ministères américains de la Justice, de l'État, du Trésor, de l'Énergie et du Commerce et, pendant neuf mois, ils ont non seulement eu un accès illimité à des courriels, mais probablement aussi aux communications de haut niveau, aux documents judiciaires et même aux secrets nucléaires. Les enquêteurs du privé et du gouvernement avaient déjà qualifié l'attaque de sans précédent par son audace et son ampleur.
Le président de Microsoft, Brad Smith, confirme cela et suggère même que les cyberespions seraient toujours dans des réseaux ciblés. Les experts en cybersécurité ont déclaré qu'il pourrait falloir des mois pour identifier les systèmes compromis et expulser les pirates. « Je pense que du point de vue du génie logiciel, il est probablement juste de dire que c'est l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue », a déclaré Smith lors de l’interview diffusée dimanche.
Les services de renseignements américains ont déclaré le mois dernier que la Russie était "probablement" derrière la brèche de SolarWinds, qui, selon eux, semblait viser à collecter des renseignements plutôt qu'à commettre des actes de destruction. Mais la Russie a nié toute responsabilité dans la campagne de piratage. Donald Trump avait minimisé l’attaque en janvier alors qu’il était encore à la Maison-Blanche, et a tenté de disculper la Russie tout attribuant, plutôt, la cyberattaque aux espions chinois.
Microsoft affirme avoir trouvé les empreintes de plus de 1000 développeurs lors de l'attaque de SolarWinds
"SolarWinds Orion" est constitué de millions de lignes de code informatique. 4032 d'entre elles ont été réécrites clandestinement et distribuées aux clients lors de la mise à jour de routine, ouvrant ainsi une porte dérobée secrète aux réseaux infectés. Microsoft a chargé 500 ingénieurs de se pencher sur cette attaque. L'un d'entre eux l'a comparé à un tableau de Rembrandt, plus ils regardaient de près, plus de détails apparaissaient.
« Lorsque nous avons analysé tout ce que nous avons vu chez Microsoft, nous nous sommes demandé combien d'ingénieurs ont probablement travaillé sur ces attaques. Et la réponse à laquelle nous sommes arrivés est, eh bien, certainement plus de 1000 », a déclaré Smith. Il n'a pas dit pour qui ces 1000 développeurs travaillaient, mais il a comparé le piratage de SolarWinds aux attaques contre l'Ukraine qui avaient été largement attribuées à la Russie.
« Je pense que lorsque vous regardez la sophistication de cet attaquant, il y a un avantage asymétrique pour quelqu'un qui joue à l'offensive », a répondu Smith lorsqu’on lui a demandé la raison pour laquelle l’attaque a pu passer sous les radars de Microsoft. « Il est presque certain que ces attaques continuent ».
« Ce que nous voyons est la première utilisation de cette tactique de perturbation de la chaîne d'approvisionnement contre les États-Unis », a-t-il déclaré. « Mais ce n'est pas la première fois que nous en sommes témoins. Le gouvernement russe a vraiment développé cette tactique en Ukraine ».
L’émission 60 Minutes a également mis en vedette le PDG de FireEye, Kevin Mandia. FireEye a également été victime de l'attaque de SolarWinds et Mandia a révélé comment son entreprise a repéré l'attaque lorsqu'une tentative d'authentification à deux facteurs a éveillé les soupçons.
« Un employé de FireEye se connectait, mais la différence était que notre personnel de sécurité a regardé la connexion et nous avons remarqué que l'individu avait deux téléphones enregistrés à son nom », a-t-il déclaré. « Alors notre employé de sécurité a appelé cette personne et nous lui avons demandé : "Hé, avez-vous vraiment enregistré un deuxième appareil sur notre réseau ? Et notre employé a répondu : "Non, ce n'était pas moi" ».
Suspicieux, FireEye a mené des investigations plus avancées et a vu des intrus se faisant passer pour ses employés et fouinant dans leur réseau, volant les outils exclusifs de FireEye pour tester les défenses de ses clients et les rapports de renseignement sur les cybermenaces actives. Les pirates n'ont laissé aucune preuve de leur intrusion - pas d'expédition de phishing, pas de logiciels malveillants.
Le monde ne serait peut-être pas encore au courant du piratage si ce n'était de FireEye, une société de cybersécurité dirigée par Kevin Mandia, un ancien officier de renseignement de l'armée de l'air. La mission principale de FireEye est de détecter et expulser les cyberintrus des réseaux informatiques de leurs clients - principalement des gouvernements et des grandes entreprises. Mais FireEye utilise le logiciel de SolarWinds, qui a transformé le cyberchasseur en proie.
Une agence de renseignement étrangère serait à l’origine de cette attaque
« Je pense que cette liste de cibles nous dit qu'il s'agit clairement d'une agence de renseignement étrangère. Elle expose potentiellement les secrets des États-Unis et d'autres gouvernements ainsi que des entreprises privées. Je pense que personne ne sait avec certitude comment toutes ces informations seront utilisées. Mais nous savons ceci : elles sont entre de mauvaises mains », a déclaré le président de Microsoft.
Selon lui, il est presque certain que les pirates ont créé des portes dérobées supplémentaires qui se sont répandues sur d'autres réseaux. Le Département de la Sécurité intérieure, le FBI et les services de renseignement sont tombés d'accord le mois dernier sur l’identité du principal suspect : le SVR, l'une des nombreuses agences d'espionnage russes que les États-Unis qualifient de « menaces persistantes avancées ».
Pendant des années, les Russes ont testé leurs cyberarmes sur l'Ukraine. NotPetya, une attaque menée en 2017 par le GRU, l'agence d'espionnage militaire russe, a utilisé les mêmes tactiques que l'attaque de SolarWinds, sabotant un logiciel largement utilisé pour s'introduire dans des milliers de réseaux ukrainiens.
Selon d'autres personnes interrogées dans l’émission, les attaquants exploitaient un point aveugle des défenses américaines en s'exécutant sur des serveurs hébergés en Amérique même. La plupart des cyberdéfenses américaines s'intéressent à l'activité au-delà des frontières du pays et supposent que le secteur privé américain s'occupe de lui-même.
« Le gouvernement ne regarde pas les réseaux du secteur privé. Il ne surveille pas les réseaux du secteur privé. C'est une responsabilité qui est confiée au secteur privé. FireEye l'a trouvé sur le leur, beaucoup d'autres ne l'ont pas fait. Le gouvernement ne l'a pas trouvé sur leur réseau, c'est donc une déception », a déclaré Chris Inglis, qui a passé 28 ans au sein de l'Agence de sécurité nationale - dont sept ans en tant que directeur adjoint - et qui siège aujourd'hui à la Commission du solarium du cyberespace, créée par le Congrès pour proposer des stratégies de défense du domaine numérique américain.
Maintenant que l’ennemi est à l’intérieur, il est difficile de le faire sortir complètement des systèmes gouvernementaux infectés, attribuant ainsi un héritage perturbant de cyberguerre entre les États-Unis et la Russie à la nouvelle administration Biden.
Source : Interview de Brad Smith
Et vous ?
Voir aussi :
J'y connais pas grand chose mais si il existe autant de développeurs sur le projet (on parle que des devs, pas de l'ensemble des personnes ayant collaboré sur le projet), c'est étonnant que la nature de ce projet n'est pas été découverte par les services d'espionnage d'une nation ou d'une autre. A titre de comparaison, si je regarde wikipedia, l'unité cyber de la DGSE c'est 3600 personnes (encore une fois pas que des devs).
Orgoff : Ils peuvent dire le chiffre qu'ils veulent. Déjà, c'est forcément un arrondis. Mais à combien commence tu à parler de 1000 quand tu t'es prit une branlé?
Bref, ils ne savent rien et on a pas finit d'en apprendre tout les jours. Manquerai plus qu'ils manipule une IA pour le hack....
Haa ! Les américains ! Tellement fiers de leur Quick and Dirty ! Et voilà...
Selon la Maison Blanche, 100 entreprises privées ont été touchées par le piratage de SolarWinds
Selon la Maison Blanche, 100 entreprises privées ont été touchées par le piratage de SolarWinds
mais d'autres pourraient l'être également
Le pirate de SolarWinds l'année dernière a laissé de nombreuses interrogations qui mettront certainement des années à être résolues, et d'autres ne le seront peut-être jamais. Le gouvernement américain, qui continue les investigations afin d'évaluer l'ampleur des dégâts causés, a déclaré lors d'un briefing mercredi avoir la certitude que 9 agences fédérales et 100 entreprises privées ont été touchées par ce piratage. Toutefois, la Maison Blanche a refusé de les nommer spécifiquement, avant d'ajouter que d'autres entreprises pourraient avoir aussi été touchées, mais n'ont pas encore été identifiées pour l'instant.
Neuf agences fédérales et 100 entreprises privées ont été compromises
L'attaque de SolarWinds est probablement encore dans l'esprit de beaucoup, car elle a suscité à la fois la stupeur dans la communauté et une profonde crainte chez les entreprises clientes de SolarWinds. L'attaque a été si inédite que le président de Microsoft, Brad Smith, a déclaré qu'il s'agissait de « l'attaque la plus importante et la plus sophistiquée jamais réalisée », car les empreintes informatiques de plus de 1000 développeurs ont été trouvées. Autrement dit, plus de 1000 hackers auraient pris part à cette gigantesque campagne de piratage, touchant des milliers d'entreprises privées et agences gouvernementales.
Depuis que l'attaque a été révélée en décembre dernier, le secteur privé et le secteur public mènent chacun son enquête afin de détecter les brèches, les corriger et probablement identifier la source du piratage. Lors d'un briefing mercredi, la conseillère adjointe à la sécurité nationale pour les cybertechnologies et les technologies émergentes Anne Neuberger a déclaré que l'enquête du gouvernement américain sur le piratage de SolarWinds devrait prendre "plusieurs mois" au moins. Cependant, Neuberger a confié aux journalistes qu'à ce stade, l'enquête leur a permis d'avoir certaines certitudes.
« À ce jour, 9 agences fédérales et au moins 100 entreprises du secteur privé ont été compromises », a déclaré Anne Neuberger lors du briefing de mercredi, bien qu'elle se soit opposée à l'idée de les nommer de façon spécifique. « Comme vous le savez, environ 18 000 entités ont téléchargé la mise à jour malveillante. L'ampleur de l'accès potentiel a donc largement dépassé le nombre de compromissions connues. Plusieurs compromissions du secteur privé sont des entreprises technologiques, y compris des réseaux d'entreprises dont les produits pourraient être utilisés pour lancer des intrusions supplémentaires », a-t-elle ajouté.
Ces chiffres sont les plus précis jamais publiés par le gouvernement sur la portée et l'ampleur du piratage, bien qu'ils restent largement inchangés par rapport aux déclarations antérieures des enquêteurs. Jusqu'à aujourd'hui, les responsables américains avaient déclaré que moins de dix agences fédérales avaient été impliquées dans la campagne. Ils avaient en effet estimé le nombre d'entités infectées à un total de 250 agences fédérales et entreprises privées, bien que Neuberger a averti que l'enquête en est encore à ses "débuts" et que "des compromis supplémentaires" pourraient être trouvés.
Bien que le piratage soit "probablement d'origine russe", Neuberger a déclaré mercredi que les pirates ont lancé leur attaque depuis l'intérieur des États-Unis. Notons que les remarques de Neuberger surviennent alors que les législateurs et les analystes politiques américains se demandent qui, au sein de l'administration Biden, dirige la réponse du gouvernement au piratage.
En effet, des rôles clés restent à pourvoir au sein de l'administration Biden, dont le directeur de l'Agence de la cybersécurité et de la sécurité des infrastructures du ministère de la Sécurité intérieure. De même, le siège du directeur national de la cybernétique, un poste nouvellement créé par le Congrès le mois dernier, est également vacant.
Beaucoup critiquent la réponse gouvernementale à l'attaque
Jusqu'à 18 000 clients de SolarWinds pourraient avoir été involontairement affectés par une vulnérabilité logicielle que des pirates étrangers ont discrètement glissée dans les mises à jour normales du logiciel de la société. Cette vulnérabilité a donné aux pirates informatiques la possibilité de lancer des attaques de suivi très personnalisées destinées à compromettre des cibles d'intérêt spécifiques. Les ministères de l'Agriculture, du Commerce, de l'Énergie, de la Sécurité intérieure, de la Justice, du Trésor et de l'État ont tous été touchés par le piratage.
En outre, le système judiciaire fédéral et le service postal américain enquêtent toujours pour savoir s'ils ont pu être compromis. À ce jour, l'on ne sait toujours pas à quelles données les pirates ont pu accéder, bien que le ministère de la Justice ait déclaré qu'environ 3 % de ses comptes de messagerie Microsoft avaient été violés, dans le compte rendu le plus détaillé des dommages à ce jour. Mercredi, Neuberger a déclaré aux journalistes que les victimes de l'agence fédérale étaient toutes "d'un grand intérêt pour le renseignement étranger".
Par la suite, elle a refusé de donner un délai pour la réponse de l'administration à ce piratage. « En raison de la sophistication des techniques qui ont été utilisées, nous pensons que nous sommes au début de la compréhension de la portée et de l'échelle, et nous pourrions trouver d'autres compromis », a déclaré Neuberger face aux journalistes, en compagnie de l'attaché de presse de la Maison Blanche Jen Psaki. « Ce que l'on sait déjà sur l'étendue et l'échelle de l'espionnage, cependant, fait de la campagne russe "plus qu'un cas isolé d'espionnage », a-t-elle ajouté.
Le mois dernier, Jen Psaki a déclaré que « l'administration se réservera le droit de répondre à tout moment et de la manière de notre choix à toute cyberattaque ». D'après les analystes, l'allocution de Neuberger a mis en évidence la manière dont l'administration Biden tente toujours de contourner ce piratage dévastateur par les armes.
Elle a déclaré qu'elle a eu de fréquentes discussions avec les législateurs sur la question, et a promis une action exécutive prochaine pour combler les lacunes en matière de sécurité que l'enquête a révélées jusqu'à présent. Neuberger a déclaré que l'action exécutive pourrait inclure au moins huit dispositions, sans toutefois donner trop de détails.
Source : La Maison Blanche
Et vous ?
Voir aussi
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Répondre avec citation
Partager