Une campagne de piratage russe a frappé plusieurs agences fédérales, selon des sociétés de sécurité et des reportages.
Angela Lang / Camaraderielimited
Une agence de renseignement russe mène une campagne sophistiquée contre les logiciels malveillants, affectant les agences locales, étatiques et fédérales américaines ainsi que des entreprises privées dont Microsoft, selon le département d’État et la Cybersecurity and Infrastructure Security Agency (CISA), des reportages et des analyses de sécurité entreprises. La faille massive, qui aurait inclus un système de messagerie utilisé par la haute direction du département du Trésor, a commencé plus tôt cette année, lorsque des pirates informatiques ont compromis des logiciels créés par la société de logiciels informatiques SolarWinds.
L’entreprise piratée vend des logiciels qui permettent à une organisation de voir ce qui se passe sur ses réseaux informatiques. Les pirates ont inséré un code malveillant dans une version mise à jour du logiciel, appelée Orion. Environ 18 000 clients de SolarWinds ont installé les mises à jour corrompues sur leurs systèmes, a déclaré la société. Le processus de mise à jour compromis a eu un effet radical, dont l’échelle ne cesse de croître à mesure que de nouvelles informations émergent.
Restez informé
Recevez les dernières histoires technologiques avec Camaraderielimited Daily News tous les jours de la semaine.
Au cours du week-end, le président Donald Trump a lancé sur Twitter l’idée que la Chine pourrait être derrière l’attaque. Trump, qui n’a pas fourni de preuves pour soutenir la suggestion de l’implication chinoise, a tagué le secrétaire d’État Mike Pompeo, qui avait précédemment déclaré dans une interview à la radio que « nous pouvons dire assez clairement que ce sont les Russes qui se sont engagés dans cette activité ».
Dans une déclaration conjointe, les agences de sécurité nationale américaines ont qualifié la brèche de «significative et continue». On ne sait toujours pas combien d’agences sont affectées ou quelles informations les pirates informatiques ont pu voler jusqu’à présent, mais à tous égards, le malware est extrêmement puissant. Selon une analyse de Microsoft et de la société de sécurité FireEye, toutes deux infectées, le logiciel malveillant donne aux pirates une large portée sur les systèmes concernés.
Microsoft a déclaré avoir identifié plus de 40 clients ciblés par le piratage. Plus d’informations sont susceptibles d’émerger sur le piratage et ses conséquences. Voici ce que vous devez savoir sur le hack SolarWinds:
Comment les pirates ont-ils introduit des logiciels malveillants dans une mise à jour logicielle?
Les pirates ont réussi à accéder à un système utilisé par SolarWinds pour mettre à jour son produit Orion, a expliqué la société dans un dépôt auprès de la SEC. À partir de là, ils ont inséré un code malveillant dans des mises à jour logicielles par ailleurs légitimes. C’est ce qu’on appelle une attaque de la chaîne d’approvisionnement, car elle infecte le logiciel lors de son assemblage.
C’est un grand coup pour les pirates de réussir une attaque de la chaîne d’approvisionnement, car elle intègre leurs logiciels malveillants dans un logiciel de confiance. Au lieu d’avoir à inciter des cibles individuelles à télécharger des logiciels malveillants avec une campagne de phishing, les pirates pourraient compter sur plusieurs agences gouvernementales et entreprises pour installer la mise à jour d’Orion à l’invite de SolarWinds.
L’approche est particulièrement puissante dans ce cas, car des milliers d’entreprises et d’agences gouvernementales à travers le monde utiliseraient le logiciel Orion. Avec la sortie de la mise à jour logicielle contaminée, la vaste liste de clients de SolarWinds est devenue des cibles potentielles de piratage.
Quelles agences gouvernementales ont été infectées par le malware?
Selon des rapports de Reuters, du Washington Post et du Wall Street Journal, le logiciel malveillant a affecté les départements de la sécurité intérieure, de l’État, du commerce et du Trésor des États-Unis, ainsi que les instituts nationaux de la santé. Politico a rapporté le 17 décembre que les programmes nucléaires gérés par le Département américain de l’énergie et la National Nuclear Security Administration étaient également visés.
Comme l’a remarqué Reuters, le 23 décembre, l’Agence fédérale de cybersécurité et de sécurité des infrastructures (CISA) a publié sur son site Web qu’elle «suivait un cyberincident important affectant les réseaux d’entreprise des gouvernements fédéral, étatiques et locaux, ainsi que les entités d’infrastructure critique. et d’autres organisations du secteur privé. «
On ne sait toujours pas quelle information, le cas échéant, a été volée aux agences fédérales, mais la quantité d’accès semble être large.
Bien que le ministère de l’Énergie et le ministère du Commerce aient reconnu les piratages auprès de sources d’information, il n’y a aucune confirmation officielle que d’autres agences fédérales spécifiques ont été piratées. Cependant, la Cybersecurity and Infrastructure Security Agency des États-Unis a émis un avis exhortant les agences fédérales à atténuer le malware, notant qu’il « est actuellement exploité par des acteurs malveillants ».
Dans une déclaration du 17 décembre, le président élu Joe Biden a déclaré que son administration « fera de la lutte contre cette violation une priorité absolue dès notre prise de fonction ».
Pourquoi le hack est-il un gros problème?
En plus d’avoir accès à plusieurs systèmes gouvernementaux, les pirates ont transformé une mise à jour logicielle ordinaire en une arme. Cette arme a été pointée sur des milliers de groupes, pas seulement sur les agences et les entreprises sur lesquelles les pirates se sont concentrés après avoir installé la mise à jour contaminée d’Orion.
Le président de Microsoft, Brad Smith, a qualifié cela « d’un acte d’insouciance » dans un article de blog de grande envergure qui explorait les ramifications du piratage. Il n’a pas directement attribué le piratage à la Russie, mais a décrit ses précédentes campagnes de piratage présumées comme la preuve d’un cyber conflit de plus en plus tendu.
« Il ne s’agit pas simplement d’une attaque contre des cibles spécifiques », a déclaré Smith, « mais contre la confiance et la fiabilité des infrastructures critiques mondiales afin de faire progresser l’agence de renseignement d’un pays. » Il a ensuite appelé à des accords internationaux pour limiter la création d’outils de piratage qui compromettent la cybersécurité mondiale.
L’ancien chef de la cybersécurité de Facebook, Alex Stamos, a déclaré sur Twitter que le piratage pourrait conduire à des attaques de la chaîne d’approvisionnement de plus en plus courantes. Cependant, il s’est demandé si le piratage était quelque chose d’extraordinaire pour une agence de renseignement bien dotée en ressources.
« Jusqu’à présent, toutes les activités qui ont été discutées publiquement sont tombées dans les limites de ce que les États-Unis font régulièrement », a déclaré Stamos.
Des entreprises privées ou d’autres gouvernements ont-ils été touchés par le malware?
Oui. Microsoft a confirmé le 17 décembre avoir trouvé des indicateurs du malware dans ses systèmes, après avoir confirmé plusieurs jours plus tôt que la violation affectait ses clients. Un rapport de Reuters a également déclaré que les propres systèmes de Microsoft avaient été utilisés pour promouvoir la campagne de piratage, mais Microsoft a nié cette affirmation aux agences de presse. Le 16 décembre, la société a commencé à mettre en quarantaine les versions d’Orion connues pour contenir le malware, afin de couper les pirates des systèmes de ses clients.
FireEye a également confirmé qu’il était infecté par le logiciel malveillant et qu’il voyait également l’infection dans les systèmes des clients.
Le 21 décembre, le Wall Street Journal a déclaré avoir découvert au moins 24 entreprises qui avaient installé le logiciel malveillant. Il s’agit notamment des entreprises technologiques Cisco, Intel, Nvidia, VMware et Belkin, selon le Journal. Les pirates auraient également eu accès aux hôpitaux du département d’État de Californie et à la Kent State University.
On ne sait pas lesquels des autres clients du secteur privé de SolarWinds ont vu des infections de logiciels malveillants. La liste de clients de la société comprend de grandes entreprises, telles que AT&T, Procter & Gamble et McDonald’s. L’entreprise compte également parmi ses clients des gouvernements et des entreprises privées du monde entier. FireEye dit que beaucoup de ces clients ont été infectés.
Que savons-nous de l’implication russe dans le hack?
Le 18 décembre, Pompeo a attribué le piratage à la Russie. Cela est intervenu après que les médias ont rapporté tout au long de la semaine que des responsables gouvernementaux avaient déclaré qu’un groupe de piratage informatique supposé être une agence de renseignement russe était responsable de la campagne contre les logiciels malveillants. SolarWinds et les entreprises de cybersécurité ont attribué le piratage aux «acteurs de l’État-nation» mais n’ont pas nommé un pays directement.
Dans une déclaration sur Facebook, l’ambassade de Russie aux États-Unis a nié toute responsabilité dans la campagne de piratage de SolarWinds. « Les activités malveillantes dans l’espace de l’information contredisent les principes de la politique étrangère russe, les intérêts nationaux et notre compréhension des relations interétatiques », a déclaré l’ambassade, ajoutant que « la Russie ne mène pas d’opérations offensives dans le domaine cybernétique ».
Surnommé APT29 ou CozyBear, le groupe de piratage pointé par les reportages a déjà été accusé d’avoir ciblé les systèmes de messagerie du département d’État et de la Maison Blanche sous l’administration du président Barack Obama. Il a également été nommé par les agences de renseignement américaines comme l’un des groupes qui ont infiltré les systèmes de messagerie du Comité national démocrate en 2015, mais la fuite de ces e-mails n’est pas attribuée à CozyBear. (Une autre agence russe a été blâmée pour cela.)
Plus récemment, les États-Unis, le Royaume-Uni et le Canada ont identifié le groupe comme responsable des efforts de piratage qui tentaient d’accéder à des informations sur la recherche sur le vaccin COVID-19.
Correction, 23 décembre: Cette histoire a été mise à jour pour clarifier que SolarWinds fabrique un logiciel de gestion informatique. Une version antérieure de l’histoire a déformé le but de ses produits.
