GlobalSign Blog

Série Cyber Autopsie : La brèche de SolarWinds entre dans l'histoire

Série Cyber Autopsie : La brèche de SolarWinds entre dans l'histoire

Note de la rédaction : octobre marque le mois national de la cybersécurité, un mois complet consacré à la création d'un monde plus cyber-sécurisé pour nous tous. Précédemment, nous vous avons donné 31 conseils pour vous aider à devenir #becybersmart. Cette année, pour attirer l'attention sur ce sujet important, nous ajoutons plusieurs nouveaux cas à notre dossier Cyber Autopsie, qui auraient pu être évités si de meilleures défenses avaient été mises en place. Rejoignez-nous tous les vendredis d'octobre pour découvrir l'une de ces cyberattaques notoires et restez dans les parages pour découvrir des idées et des enseignements qui pourraient bien vous permettre de ne pas figurer sur la liste.

Cyber Victime:

SolarWinds - L'entreprise texane SolarWinds développe des logiciels pour les entreprises afin de les aider à gérer leurs réseaux, leurs systèmes et leur infrastructure informatique. Avec plus de 300 000 clients dans le monde, elle est considérée comme un leader sur son marché.

Détails de l'affaire :

La campagne de piratage de SolarWinds restera probablement dans la cyberhistoire comme l'une des attaques les plus dommageables jamais lancées. La société technologique américaine a été utilisée par des pirates russes comme tremplin pour compromettre neuf agences gouvernementales américaines. Il s'agit de "l'attaque la plus importante et la plus sophistiquée que le monde ait jamais vue", a déclaré Brad Smith, président de Microsoft Corp. L'opération, qui a été identifiée en décembre 2020, a donné aux pirates un accès carte blanche à des milliers d'entreprises et de bureaux gouvernementaux qui utilisaient ses produits. Ainsi, les pirates ont eu accès aux courriels des départements américains du Trésor, de la Justice et du Commerce, ainsi que d'autres agences.

Cyber historique :

Il ne semble pas que SolarWinds ait été attaqué avant l'attaque de décembre 2020. Cependant, cela ne signifie pas que l'entreprise est excusée de ne pas avoir pris les précautions de sécurité appropriées qui auraient pu empêcher ce qui est devenu l'une des cyberattaques les plus redoutables de 2021.

Description des événements :

Tout a commencé à se dérouler à la fin de 2020 lorsque la société de cybersécurité FireEye a annoncé le 8 décembre qu'elle était victime d'une attaque d'État-nation. L'équipe de sécurité a signalé que sa boîte à outils Red Team, des applications utilisées par des hackers éthiques lors de tests de pénétration, avait été volée. Puis, le 13 décembre, la société a découvert que des attaquants avaient trouvé et introduit une porte dérobée dans le logiciel commercial Orion de SolarWinds, qu'elle a baptisé "SUNBURST".

En commençant à éplucher les couches, FireEye a appris qu'une cyberintrusion avait eu lieu chez SolarWinds en septembre 2019. Plus précisément, le 4 septembre 2019, lorsqu'un acteur de la menace a pénétré dans le système SolarWinds ; puis, deux semaines plus tard, ils ont injecté du code de test et effectué un essai. D'autres activités ont suivi en décembre, lorsque les pirates ont accédé à au moins un des comptes de messagerie Office 365 de SolarWinds. En conséquence, les attaquants ont pu compromettre d'autres comptes de messagerie, ce qui a finalement conduit à une intrusion beaucoup plus large dans l'environnement Office 365 de l'entreprise.

Systèmes/Parties impactés :

Le 13 décembre 2020, SolarWinds a commencé à notifier ses clients. Ils ont publié sur leur compte Twitter que tous les clients devaient immédiatement effectuer une mise à niveau vers la version 2020.2.1 HF 1 d'Orion Platform afin de "corriger une vulnérabilité de sécurité." Le jour suivant, la société a déposé un rapport SEC Form 8-K, indiquant que la société "a été mise au courant d'une cyberattaque qui a inséré une vulnérabilité dans ses produits de surveillance Orion." Le 15 décembre 2020, le Wall Street Journal a rapporté que les départements américains du commerce et du trésor, le département de la sécurité intérieure (DHS), les instituts nationaux de la santé et le département d'État avaient tous été touchés. Quelques jours plus tard, d'autres victimes ont été révélées, notamment le département de l'énergie (DOE) et l'administration nationale de la sécurité nucléaire (NNSA), qui gère le stock d'armes nucléaires des États-Unis. La liste a continué à s'allonger puisque 200 autres ont été annoncées quelques jours plus tard.

Fin décembre, l'administration Trump a reconnu que des pirates agissant pour le compte d'un gouvernement étranger - presque certainement une agence de renseignement russe - s'étaient introduits dans une série de réseaux gouvernementaux clés et avaient accédé à leurs systèmes de messagerie.

Puis, le 31 décembre, Microsoft a annoncé que les attaquants avaient violé une partie de son code source. L'entreprise a toutefois précisé que les attaquants n'avaient pas pu modifier le code, les produits ou les courriels et qu'ils n'avaient pas utilisé les produits Microsoft pour attaquer d'autres victimes.

En avril, Business Insider a saisi les ramifications de cette attaque exceptionnellement dommageable :

"Maintenant que de multiples réseaux ont été pénétrés, il est coûteux et très difficile de sécuriser les systèmes. Tom Bossert, l'ancien responsable de la sécurité intérieure du président Trump, a déclaré qu'il pourrait s'écouler des années avant que les réseaux ne soient à nouveau sécurisés. En ayant accès aux réseaux gouvernementaux, les pirates pourraient "détruire ou modifier des données, et se faire passer pour des personnes légitimes", a écrit M. Bossert dans une tribune libre publiée dans le New York Times.

Non seulement cette violation est l'une des plus importantes de l'histoire récente, mais elle constitue également un signal d'alarme pour les efforts fédéraux en matière de cybersécurité. Selon le New York Times, le US Cyber Command, qui reçoit des milliards de dollars de financement et est chargé de protéger les réseaux américains, a été "aveuglé" par l'attaque.  Au lieu de cela, une entreprise privée de cybersécurité appelée FireEye a été la première à remarquer la brèche lorsqu'elle a remarqué que ses propres systèmes avaient été piratés."

Mode d'entrée :

Selon SpyCloud, une fois à l'intérieur du système de SolarWinds, les attaquants ont pu modifier le processus de construction et injecter du code malveillant dans les versions de sa plateforme logicielle Orion publiées entre mars et juin 2020. Au moins 18 000 organisations ont téléchargé la mise à jour malveillante, permettant finalement les compromissions connues d'au moins neuf agences fédérales et de plus de 100 organisations du secteur privé. Les attaquants ont pu voler des identités et des jetons pour se faire passer pour de vrais utilisateurs, contourner l'authentification multifactorielle et étendre leur emprise sur les réseaux affectés.

Bien que tous les signes indiquent qu'il s'agit d'une attaque soutenue par la Russie, le pays a nié catégoriquement toute implication dans cet incident.

Au printemps, le correspondant de la BBC à Moscou, Steve Rosenberg, a interrogé le directeur du Service russe de renseignement extérieur (SVR), Sergei Naryshkin, sur les liens entre la Russie et le groupe de pirates connu sous les noms d'APT29, Nobelium, Cozy Bear ou les Ducs, et il a répondu : "Ces affirmations sont comme un mauvais roman policier". Il a ajouté : "toutes ces affirmations sur les cyberattaques, les empoisonnements, les piratages, les interférences dans les élections qui sont imputées à la Russie" comme "absurdes, et dans certains cas si pathétiques".

Malgré le démenti de Naryshkin, les enquêteurs fédéraux et les experts en cybersécurité estiment que le SVR est l'entité probablement responsable de l'attaque. N'oubliez pas - il s'agit du même groupe crédité d'avoir pénétré dans les serveurs de messagerie de la Maison Blanche, du Département d'État et des chefs d'état-major interarmées en 2014 et 2015 - ainsi que d'avoir attaqué le Comité national démocrate et les membres de la campagne présidentielle d'Hilary Clinton.

Diagnostic final :

L'attaque de SolarWinds est encore fraîche dans de nombreux esprits. Et ce n'est pas seulement parce qu'elle a touché neuf agences fédérales américaines et initialement 18 000 organisations dans le monde. C'est aussi parce qu'il semble que les attaquants ne ralentissent pas. En fait, le 28 septembre, SearchSecurity a rapporté que les chercheurs de Microsoft pensent que Nobelium utilise un outil de porte dérobée appelé FoggyWeb depuis au moins avril. Les chercheurs affirment que "FoggyWeb" est utilisé pour maintenir la persistance sur les serveurs Active Directory compromis afin de voler des données des serveurs compromis et de recevoir et exécuter du code malveillant supplémentaire. La porte dérobée avait été observée dans la nature dès le mois d'avril.

À la suite de cet incident - et, pour être juste, d'autres incidents de sécurité survenus en 2021 (notamment les attaques de Colonial Pipeline et de JBS Meat), le gouvernement américain est en train de modifier radicalement son dispositif de cybersécurité. Les entreprises de la chaîne d'approvisionnement en logiciels étudient de nouvelles approches afin de mieux comprendre les très nombreux logiciels qu'elles utilisent et pourraient commencer à utiliser des nomenclatures logicielles (SBOM) pour mieux suivre et gérer le tout.

Espérons que des leçons douloureuses ont été tirées et qu'un incident de cette ampleur ne se reproduira pas. Les outils logiciels ne feront que s'améliorer, les entreprises seront plus intelligentes pour surveiller et protéger leurs systèmes. À l'avenir !

file closed stamp on case folder

C'est tout pour l'affaire de cette semaine ! N'oubliez pas de revenir la semaine prochaine pour voir qui nous couvrons, ou cliquez sur " s'abonner " ci-dessous pour recevoir les nouveaux blogs directement dans votre boîte de réception.

 

Share this Post