La cyberattaque SolarWinds est un « risque grave » pour la sécurité mondiale

Plus d’organismes gouvernementaux américains, y compris le département de l’Énergie (DoE) et la National Nuclear Safety Administration (NNSA), ont été victimes de l’tentaculaire SolarWinds Sunburst cyber-soutenu cyberattaque soutenue par l’État, tandis que d’autres victimes sont découvertes à l’échelle mondiale, y compris au Royaume-Uni. La Cybersecurity and Infrastructure Security Agency (CISA) a déclaré que l’attaque était un « risque grave ».

Au cours des dernières 24 heures, des détails ont émergé sur la façon dont les assaillants, qui ont été liés au groupe russe APT29 ou Cozy Bear, ont fait irruption dans les réseaux du DoE et de la NNSA, qui a la responsabilité de maintenir l’arsenal d’armes nucléaires des États-Unis. Parmi les cibles du groupe figurent la Federal Energy Regulatory Commission (Ferc), les laboratoires Sandia et Los Alamos, l’Office of Secure Transportation de la NNSA et le Bureau local richland du DoE, selon Politico.

La liste des victimes peut maintenant également inclure Microsoft, qui a été à l’avant-garde des efforts visant à perturber l’attaque, bien que cela ne soit pas confirmé. Un porte-parole de Microsoft a confirmé que l’organisation a effectivement détecté des binaires SolarWinds malveillants dans son environnement, qu’elle a isolés et supprimés, mais a déclaré qu’il n’y avait aucune preuve de compromis de ses services de production ou des données des clients. Néanmoins, Reuters, citant des sources familières avec la situation, a affirmé que les attaquants ont fait usage de certaines infrastructures de cloud public Microsoft.

Dans une alerte publiée jeudi 17 décembre, la CISA a déclaré qu’elle était au courant des compromis des agences gouvernementales, des opérateurs d’infrastructures nationales essentielles (CNI) et des organisations du secteur privé par un groupe avancé de menace persistante (APT), à partir de mars.

« Cet acteur de l’APT a fait preuve de patience, de sécurité opérationnelle et de commerce complexe dans ces intrusions », a-t-il déclaré. « Le CISA s’attend à ce que la suppression de cet acteur de la menace des environnements compromis soit très complexe et difficile pour les organisations.

« La CISA a déterminé que cette menace représente un risque grave pour le gouvernement fédéral et les gouvernements des États, des gouvernements locaux, tribaux et territoriaux, ainsi que pour les entités d’infrastructure essentielles et d’autres organisations du secteur privé. »

Te CISA a déclaré qu’il faisait face à un « adversaire patient, bien débrouillé et concentré », et a averti que le compromis Sunburst n’était pas le seul vecteur initial d’infection utilisé dans cette campagne. En outre, toutes les quelque 18 000 organisations qui ont téléchargé par inadvertance la mise à jour entachée de la plate-forme Orion de SolarWinds à l’origine de cet incident n’ont pas été ciblées par la suite.

Le président de Microsoft, Brad Smith, a déclaré que la cyberattaque était effectivement une attaque contre les États-Unis, son gouvernement et d’autres institutions critiques, et a démontré à quel point le paysage de la cybersécurité était devenu dangereux.

« L’attaque est en cours et fait l’objet d’une enquête active et est menée par des équipes de cybersécurité des secteurs public et privé, y compris Microsoft », a écrit Smith dans un billet de blog. « Alors que nos équipes agissent en tant que premiers intervenants à ces attaques, ces enquêtes en cours révèlent une attaque remarquable par sa portée, sa sophistication et son impact.

« Autant que tout, cette attaque fournit un moment de calcul. Il exige que nous regardions avec des yeux clairs les menaces croissantes auxquelles nous sommes confrontés et que nous nous engageons à un leadership plus efficace et plus collaboratif de la part du gouvernement et du secteur de la technologie… pour mener une réponse mondiale forte et coordonnée en matière de cybersécurité.

Basé sur la télémétrie recueillie à partir du logiciel antivirus Defender de Microsoft, Smith a déclaré que la nature de l’attaque et l’ampleur de la vulnérabilité de la chaîne d’approvisionnement étaient très claires à voir. Il a déclaré que Microsoft a maintenant identifié au moins 40 de ses clients que le groupe a ciblés et compromis, et travaille maintenant avec eux.

La plupart de ces clients sont basés aux États-Unis, mais le travail de Microsoft a également mis au jour des victimes en Belgique, au Canada, en Israël, au Mexique, en Espagne, aux Émirats arabes unis et au Royaume-Uni, y compris des organismes gouvernementaux, des ONG et des entreprises de cybersécurité et de technologie.

Smith a ajouté: « Ce n’est pas ‘espionnage comme d’habitude’, même à l’ère numérique. Au lieu de cela, il représente un acte d’insouciance qui a créé une vulnérabilité technologique grave pour les États-Unis et le monde. En fait, il ne s’agit pas seulement d’une attaque contre des cibles spécifiques, mais aussi de la confiance et de la fiabilité de l’infrastructure essentielle du monde afin de faire progresser l’agence de renseignement d’un pays.

« Bien que l’attaque la plus récente semble refléter un accent particulier sur les États-Unis et de nombreuses autres démocraties, elle nous rappelle également que les habitants de pratiquement tous les pays sont à risque et ont besoin de protection, quels que soient les gouvernements sous lequel ils vivent. »