Logiciels malveillants dissimulés dans des mises à jour : Sunburst nous occupera encore longtemps.
Lors de la prochaine mise à jour automatique du système d'exploitation de votre PC, imaginez qu’un programme malveillant soit livré à votre insu et rende votre appareil accessible aux pirates. C'est exactement ce qui est arrivé aux utilisateurs de la plate-forme Orion de SolarWinds. Les mises à jour de leur logiciel de gestion informatique ont été contaminées et ont, par la suite, compromis l'infrastructure informatique de plus de 18 000 entreprises et agences gouvernementales. Il existe désormais un rapport d'enquête détaillé sur ce qui s'est passé et un outil permettant de savoir si son infrastructure a été touchée.
#Cyber Defense Center #Concept de sécurité en cas d'urgence #Security Awareness #Security Risk Assessment #SIEM #Vulnerability Management
Début décembre 2020, SolarWinds valait près de 7,4 milliards de dollars en bourse. Il s'agit d'une grande entreprise qui fournit des logiciels à d'autres grandes entreprises, pour la plupart des entreprises du Fortune 500 et des organisations gouvernementales. Cette clientèle de poids-lourds et d’éminentes sociétés a fait de SolarWinds une cible parfaite pour les pirates informatiques, dont l'intrusion dans les systèmes de l'entreprise au début de l'année dernière est passée inaperçue pendant neuf mois, jusqu'à la mi-décembre.
Tout a commencé en mars 2020
Selon les médias, SolarWinds avait déjà envoyé à ses clients des mises à jour logicielles contaminées en mars. Ce n'est que le 13 décembre que la cyberattaque a été signalée pour la première fois. Et dès le premier rapport, la Russie a été tenue pour responsable de l'attaque, ce que le ministère russe des Affaires étrangères a immédiatement démenti. D'autres rapports ont suivi coup sur coup et il est devenu clair que de nombreuses personnes de haut niveau étaient concernées : le Wall Street Journal a cité le Pentagone, le ministère de la Sécurité intérieure, le ministère des Affaires étrangères, le ministère de l'Energie, l'Administration nationale de la sûreté nucléaire et le ministère des Finances, ainsi que de grandes entreprises comme Microsoft, Cisco, Intel et Deloitte.
Les pirates ne s'intéressaient qu'à certaines cibles
Le maliciel introduit dans l'infrastructure informatique des clients de SolarWinds avec les mises à jour Orion s'appelle Sunburst. Apparemment, la plupart des clients SolarWinds équipés de Sunburst n'intéressaient pas les pirates, qui n’ont introduit des logiciels malveillants que dans certaines organisations, afin d’obtenir l'accès au réseau local et aux ressources cloud de l'entreprise. Les pirates se sont surtout concentrés sur l'infrastructure Microsoft 365. Bien qu’ils aient été sélectifs, l'attaque a eu d'énormes conséquences sur la sécurité des données de milliers de clients de SolarWinds, parmi lesquels figurent, selon cette dernière, la plupart des entreprises américaines du Fortune 500, les dix premiers opérateurs de télécommunications américains et le gouvernement américain. Cette attaque sans précédent a également eu des conséquences très négatives sur la capitalisation boursière de SolarWinds : les actions ont chuté ; l'entreprise ne vaut actuellement plus que cinq milliards de dollars, deux milliards se sont évaporés dans la nature.
Un outil contre les pirates
La société de cybersécurité FireEye, qui gagne sa vie en protégeant des clients de haut niveau, a également été touchée par le piratage[i]. Ce sont les experts de FireEye qui ont remarqué l'intrusion et déclenché l'alarme[ii] - et non le cybercommandement du ministère américain de la Défense, financé à coups de milliards de dollars et qui, selon le New York Times, aurait été complètement pris au dépourvu par l'attaque[iii]. Cette semaine, FireEye a publié un rapport décrivant en détail les techniques utilisées par les pirates de SolarWinds[iv]. FireEye a mené l'enquête sur le piratage de SolarWinds en collaboration avec Microsoft et la société de sécurité CrowdStrike. En même temps que le rapport, les chercheurs de FireEye ont également publié sur GitHub un outil gratuit appelé Azure AD Investigator, qui permet aux entreprises de déterminer si les pirates se sont également introduits dans leurs réseaux[v]. SolarWinds Corp. s’est assuré depuis que le malware Sunburst avait été supprimé de sa page de téléchargement. On suppose que la faille Sunburst n'affecte pas d'autres produits SolarWinds.
Maximiser la cybersécurité
Toutes les conséquences du piratage de SolarWinds ne sont pas encore prévisibles. Tom Bossert, un expert en sécurité du gouvernement américain, a écrit dans le New York Times qu'il pourrait s'écouler des années avant que tous les réseaux soient à nouveau sécurisés. Dans l'intervalle, il est important de maximiser la cybersécurité. Les experts en sécurité d'UMB peuvent vous aider dans cette tâche. Ce n'est que lorsque votre réseau est surveillé en permanence que vous pouvez réagir rapidement aux menaces. Grâce à son centre de cyberdéfense, UMB assume l'entière responsabilité de votre sécurité informatique. Notre équipe Security Intelligence a déjà pris les mesures nécessaires pour sécuriser les infrastructures informatiques de nos clients contre les nouvelles menaces connues. Nous rendons votre environnement informatique sûr. Contactez-nous.
[iii] https://www.nytimes.com/2020/12/14/us/politics/russia-hack-nsa-homeland-security-pentagon.html
[v] https://github.com/fireeye/Mandiant-Azure-AD-Investigator
