SolarWinds attaque presque certainement le travail des fantômes russes

Les enquêtes en cours sur l’importante cyberattaque de décembre 2020 contre diverses agences gouvernementales américaines, orchestrée par une violation des produits SolarWinds Orion, pointent de plus en plus vers une opération d’espionnage russe, selon un rapport du groupe de travail.

Selon le Cyber Unified Coordination Group (UCG), un seul acteur avancé de la menace persistante (APT), probablement d’origine russe, est responsable de « la plupart ou la plupart » des compromis qui ont eu lieu par l’attaque.

« À l’heure actuelle, nous croyons qu’il s’agissait et continue d’être un effort de collecte de renseignements. Nous prenons toutes les mesures nécessaires pour comprendre toute la portée de cette campagne et y répondre en conséquence », a déclaré le groupe dans un communiqué.

L’UCG s’est levé à la suite de l’attaque, également connue sous le nom de Solorigate ou Sunburst, et comprend l’expertise du Federal Bureau of Investigation (FBI), de la Cybersecurity and Infrastructure Security Agency (CISA), du Bureau du Directeur du renseignement national (ODNI) et de la National Security Agency (NSA).

Sur les 18 000 utilisateurs des secteurs public et privé du produit Orion contaminé qui ont été identifiés jusqu’à présent, l’UCG estime maintenant qu’un nombre beaucoup plus faible a été compromis par des activités malveillantes réelles. Il a dit qu’il avait identifié moins de 10 agences gouvernementales américaines touchées, bien qu’il travaille à identifier d’autres.

« Il s’agit d’un compromis sérieux qui nécessitera un effort soutenu et dévoué pour remédier à la situation. Depuis sa découverte initiale, l’UCG, y compris les professionnels travailleurs à travers le gouvernement américain, ainsi que nos partenaires du secteur privé ont travaillé sans arrêt », a déclaré l’UCG.

« Ces efforts n’ont pas abandonné pendant les fêtes. L’UCG continuera de prendre toutes les mesures nécessaires pour enquêter, assainir et partager l’information avec nos partenaires et le peuple américain.

Gurucul PDG Saryu Nayyar a déclaré l’attaque Solorigate était un parfait exemple d’une cyberattaque de l’État. « Contrairement aux cybercriminels typiques, ces menaces à ce niveau ont des ressources presque illimitées et cibleront pratiquement tout ce qui peut faire avancer leur programme », a-t-elle déclaré.

« Il est probable que les dommages causés par cette attaque seront beaucoup plus profonds que ce qui est révélé au public, mais il peut servir de signal d’alarme que les organisations et les fournisseurs à tous les niveaux ont besoin pour améliorer leur jeu de cybersécurité.

« Ils doivent évaluer leur posture de sécurité actuelle et s’assurer qu’ils ont les meilleurs composants possibles en place, y compris l’analyse de sécurité. L’avantage est que la conception de moyens de défense pour émousser les attaquants au niveau de l’État devrait être plus que suffisant pour contrecarrer les cybercriminels communs », a-t-elle ajouté.

SolarWinds fait maintenant face à un recours collectif intenté contre sa haute direction – y compris son PDG – au nom d’un actionnaire américain dont la plainte allègue que la société était bien consciente de la possibilité qu’elle soit compromise, et a fait des déclarations fausses et trompeuses qui ont gonflé à tort le cours de son action.

Dans d’autres nouvelles relatives à l’attaque SolarWinds, Microsoft a révélé la semaine dernière que, bien qu’aucun de ses services de production ou des données clients a été compromise par les attaquants Solorigate, ses enquêtes avaient détecté une activité qui allait au-delà de la présence de code SolarWinds malveillants dans son environnement.

« Nous avons détecté une activité inhabituelle avec un petit nombre de comptes internes et, après examen, nous avons découvert qu’un compte avait été utilisé pour afficher le code source dans un certain nombre de référentiels de code source », a déclaré Microsoft.

« Le compte n’avait pas l’autorisation de modifier un code ou des systèmes d’ingénierie et notre enquête a confirmé qu’aucune modification n’avait été apportée. Ces comptes ont fait l’objet d’une enquête et ont été assainis.