Biden sanctionne la Russie sur les cyberattaques SolarWinds

Comme on l’avait prévu depuis longtemps, le président américain Joe Biden a signé aujourd’hui (15 avril) un décret imposant de nouvelles sanctions à la Russie en raison d’une série de cyberattaques malveillantes contre les États-Unis et leurs alliés, y compris les attentats de SolarWinds de décembre 2020, qu’il a officiellement attribués à l’APT29 soutenu par l’État russe, ou Cosy Bear.

L’administration américaine a déclaré que, bien qu’elle souhaitait une relation stable et prévisible avec Moscou, il était clair qu’elle devait défendre ses intérêts et imposer des coûts au gouvernement russe pour ses actions dans le cybere spatiale.

L’administration s’est dite désormais très confiante dans le fait que Cosy Bear était à l’origine de la « vaste campagne de cyberespionnage » qui exploitait le code malveillant inséré dans la plate-forme SolarWinds Orion et d’autres infrastructures informatiques. Cela a permis au service russe de renseignement extérieur, le SVR, d’espionner et de perturber les systèmes de milliers d’organisations à l’échelle mondiale, bien que ce soient surtout les organismes gouvernementaux qui ont été ciblés.

Les États Unis ont déclaré que la portée du compromis était telle qu’il s’agissait d’une préoccupation claire en matière de sécurité nationale et publique, et ont imposé un fardeau indu aux victimes du secteur privé qui supportent les coûts d’atténuation « anormalement élevés ».

Il a également déclaré que l’attaque contre SolarWinds a mis en évidence les risques posés par les tentatives russes de cibler les victimes via leurs chaînes d’approvisionnement et a servi d’avertissement sur les risques liés à l’utilisation des TIC et des services fournis par les entreprises qui exploitent ou stockent des données d’utilisateurs en Russie, ou s’appuient sur le développement de logiciels ou le soutien technique dans ce pays. À cette fin, elle a censuré six entreprises technologiques russes qui travaillent avec le programme cybernétique du SVR.

Le gouvernement américain a déclaré qu’il renforcerait également ses efforts pour « promouvoir un cadre de comportement responsable de l’État dans le cybere spatiale » et coopérer avec ses alliés et partenaires. M. Biden a suivi la création d’un cours sur la cyber-politique couvrant l’attribution des attaques et la formation continue des décideurs politiques sur la façon dont le droit international peut être appliqué au cybereptéraux. Les États-Unis intégreront également un certain nombre d’alliés dans leurs exercices de cyberdéfense et de planification de la résilience cybernétiques 21-1 prévus – y compris le Royaume-Uni, ainsi que le Danemark, l’Estonie et la France.

Les sanctions plus larges interdisent aux institutions financières américaines de participer au marché des obligations libellées en rouble ou en rouble, ou de prêter des fonds libellés en rouble ou en roubles à la Banque centrale russe, au Fonds national de richesse ou au ministère des Finances; sanctionner 32 entités et individus considérés comme impliqués dans des tentatives visant à mettre hors course l’élection présidentielle controversée de 2020 aux États-Unis, ainsi que huit individus et entités associés aux attaques de la Russie contre l’Ukraine et à la poursuite de l’occupation illégale de la Crimée; et expulser 10 agents du renseignement de l’ambassade russe à Washington DC.

Dans le même temps, la National Security Agency (NSA) des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI ont émis aujourd’hui une alerte pour dénoncer l’exploitation de cinq vulnérabilités et expositions communes liées au SVR pour cibler à la fois les organisations des secteurs public et privé aux États-Unis et dans le monde.

Dans une déclaration conjointe, les agences ont déclaré que l’atténuation de ces CV était d’une importance cruciale, car les réseaux américains et alliés étaient constamment scannés, ciblés et exploités par des groupes soutenus par Moscou. Au-delà du compromis SolarWinds Orion, le SVR a été repéré ciblant les installations de recherche Covid-19 avec des logiciels malveillants grâce à une vulnérabilité VMware.

Les vulnérabilités répertoriées sont CVE-2018-13379, une vulnérabilité traversée de chemin dans Fortinet FortiGate VPN; CVE-2019-9670, une vulnérabilité d’injection d’entité externe XML dans la suite collaboration Synacor Zimbra; CVE-2019-11510, qui permet aux attaquants distants d’effectuer des lectures de fichiers arbitraires via Pulse Secure Pulse Connect Secure VPN; CVE-2019-19781, une vulnérabilité désormais infâme dans Citrix Application Delivery Controller and Gateway, qui permet l’annuaire traversal; et CVE-2020-4005, une vulnérabilité d’injection de commande dans VMware Workspace One Access, Access Connector, Identity Manager et Identity Manager Connector. Les correctifs sont disponibles pour toutes les vulnérabilités répertoriées et doivent être immédiatement appliqués.