Les États-Unis taquinent les représailles contre les cyberattaques soutenues par l’État

Les États-Unis pourraient mener des cyberattaques offensives contre des cibles en Russie d’ici quelques semaines en représailles aux attaques généralisées de SolarWinds Orion, alors même que les équipes de cybersécurité du gouvernement s’attaquent à d’autres retombées de la divulgation la semaine dernière de quatre vulnérabilités dangereuses dans Microsoft Exchange Server.

Tel que rapporté par le New York Times, qui citait des représentants du gouvernement anonymes, une sorte de réponse pourrait venir avant la fin du mois de mars. Le journal a affirmé qu’il était susceptible de constituer des actions au sein des réseaux gouvernementaux russes qui enverrait un signal clair au gouvernement russe, mais être moins évident pour les étrangers.

Dans le même temps, les reportages du journal ont renforcé les spéculations sur un prochain décret du président Biden visant à renforcer la sécurité des réseaux gouvernementaux américains contre de futures cyberattaques.

Matthew Connor, directeur principal de la prestation des services chez F-Secure, a déclaré que les représailles pour les cyberattaques ordonnées par l’État-nation n’étaient évidemment pas rares, car les guerres de tir sont devenues quelque peu passées. Dans cette optique, a-t-il dit, il faut s’attendre à un tel mouvement de la part de l’administration Biden, mais taquiner ce plan par le biais de fuites dans la presse comporte un certain degré de risque pour les Américains.

« La différence pourrait être si une partie définit publiquement les règles avec qui elle jouera à l’avenir », a déclaré Connor. « De telles règles pourraient avoir un effet dissuasif utile sur les antagonistes, mais elles pourraient aussi créer un inconfort interne lors de la gestion des relations étrangères essentielles.

« Dans ce cas, les dommages sont doubles. De toute évidence, des renseignements précieux ont été perdus et, pire encore, ils sont maintenant publics. La Russie peut nier, malgré la force des preuves, et intensifier les mesures prises contre eux. Un nouveau président doit faire preuve de force, mais celui-ci aurait pu vouloir garder toute rétribution nécessaire hors de l’œil du public.

Pendant ce temps, des chercheurs de l’Unité contre la menace de Secureworks ont publié aujourd’hui de nouvelles preuves qu’un autre groupe de menaces persistantes avancé basé en Chine, surnommé Spiral, pourrait être à l’origine de l’intrusion de Supernova dans la plate-forme SolarWinds Orion. Supernova a été découverte par l’unité 42 de Palo Alto en décembre 2020, mais elle a rapidement été évaluée comme n’étant pas liée à l’attaque de la chaîne d’approvisionnement liée à la Russie contre le même service.

Secureworks a déclaré que le groupe a exploité la vulnérabilité de contournement d’authentification CVE-2020-10148 dans un serveur SolarWinds orienté vers Internet pour déployer la coque Web Supernova, ce qui leur a permis de se déplacer dans le réseau cible et d’obtenir des informations d’identification, bien que son équipe d’intervention en cas d’incident les ait arrêtées avant que des données puissent être prises.

Elle a indiqué que la nature des mouvements de l’acteur laissait entendre qu’elle avait une connaissance préalable de la mise en place de la victime et qu’à travers une enquête plus approfondie, elle avait été en mesure de la relier à une série antérieure d’attaques contre le même réseau exploitant un ManageEngine ServiceDesk vulnérable. Un certain nombre d’autres tactiques, techniques et procédures similaires lui ont ensuite permis d’établir un lien avec le groupe Spiral.