Les faits et le mystère sur le piratage SolarWinds en Russie

Vues: 10
0 0
Temps de lecture:4 Minute, 29 Second

Le piratage, qui a été découvert en décembre 2020 mais a peut-être commencé dès mars, est ce qu’on appelle une chaîne d’approvisionnement ou une attaque tierce, ce qui signifie que la cible initiale n’était pas le gouvernement américain mais l’un de ses fournisseurs de logiciels. Dans ce cas, la société était SolarWinds Corp., basée au Texas, qui est utilisée par de nombreuses agences gouvernementales et sociétés Fortune 500 pour gérer leur technologie de l’information. Les pirates ont installé une soi-disant porte dérobée dans le logiciel populaire Orion de SolarWinds. Au fil du temps, ce logiciel infecté s’est retrouvé sur les serveurs de certains clients SolarWinds, permettant aux pirates de revenir et d’accéder à ces systèmes informatiques. La Cybersecurity and Infrastructure Security Agency, connue sous le nom de CISA, a déclaré avoir des preuves que les pirates informatiques utilisaient également des méthodes autres que la porte dérobée pour infiltrer les réseaux.

Les pirates ont installé leur code malveillant dans les mises à jour du logiciel SolarWinds. SolarWinds a déclaré que jusqu’à 18 000 de ses clients avaient reçu la mise à jour malveillante, tandis que les États-Unis évaluaient ce nombre à 16 000 systèmes informatiques dans le monde. Un nombre beaucoup plus petit a été victime d’attaques consécutives. Au moins 100 entreprises et neuf agences fédérales ont été identifiées, a annoncé la Maison Blanche en mars. La liste des victimes connues jusqu’à présent comprend les départements d’État, du Trésor, de la sécurité intérieure, du commerce et de l’énergie, y compris son agence des armes nucléaires, et au moins trois États. La société de cybersécurité FireEye Inc. a été victime; une enquête sur la brèche est ce qui a conduit à la découverte de la porte dérobée SolarWinds.

La Maison Blanche a déclaré que «la portée de ce compromis est une préoccupation de sécurité nationale et publique», et a déclaré que le piratage imposait «un fardeau indu» aux entreprises du secteur privé. Mais l’ampleur des dégâts ne sera pas claire avant un certain temps. L’une des principales questions est de savoir si l’objectif des attaquants était un simple espionnage – exfiltrer ou examiner les données des organisations qu’ils ont frappées – ou s’ils prévoient également des attaques plus destructrices dans le futur. Les agences fédérales et le FBI ont déclaré le 5 janvier que le piratage semble être «un effort de collecte de renseignements». «S’il s’agit de cyberespionnage, c’est l’une des opérations de cyberespionnage les plus efficaces que nous ayons vues depuis un certain temps», a déclaré John Hultquist, directeur principal de FireEye. Déterminer l’étendue du piratage, réparer les systèmes compromis et réparer les dommages sera coûteux et prend du temps pour les victimes, selon les experts en cybersécurité.

4. Quelles preuves indiquent la Russie?

Les États-Unis affirment que leur communauté du renseignement «a une grande confiance dans son évaluation» selon laquelle le piratage a été perpétré par le service de renseignement extérieur russe, connu sous le nom de SVR, et un groupe notoire de pirates informatiques qu’il contrôle connu sous le nom d’APT 29. Le Royaume-Uni a déclaré que c’était « très probable »le SVR était derrière cela et d’autres cyber-intrusions. Les États-Unis ont également constaté que le SVR avait volé des «outils de l’équipe rouge», qui sont utilisés pour imiter les cyberattaques afin d’améliorer la sécurité, d’une entreprise de cybersécurité et pourrait les utiliser comme un dispositif offensif. Le Kremlin a nié toute implication.

Également connu dans la communauté de la sécurité sous le nom de Cosy Bear ou The Dukes, le groupe de piratage remonte à 2008 et cible depuis longtemps les entreprises et les gouvernements. Les États-Unis, le Royaume-Uni et le Canada ont estimé qu’APT 29 est «un groupe de cyberespionnage, faisant presque certainement partie des services de renseignement russes». C’était l’un des deux groupes de piratage russes à avoir violé le Comité national démocrate avant la course à la présidentielle de 2016 et, en juillet 2020, a été accusé par les États-Unis et le Royaume-Uni de cibler des organisations impliquées dans la recherche d’un vaccin contre Covid-19. La société de cybersécurité Crowdstrike a commencé à suivre le groupe en 2014 et a déclaré qu’elle était connue pour avoir jeté «un large réseau» de victimes et pour «changer fréquemment les ensembles d’outils».

6. Comment les États-Unis ont-ils riposté?

L’administration du président Joe Biden a interdit aux institutions financières américaines d’acheter de nouvelles émissions de dette souveraine russe et a répertorié six entreprises technologiques liées aux services de renseignement russes dans le cadre d’un décret visant «les activités étrangères nuisibles». La Maison Blanche a également officiellement désigné le SVR comme l’auteur de la brèche SolarWinds le 15 avril. Dans le même temps, les États-Unis ont déclaré qu’ils ciblaient 32 entreprises et individus pour avoir tenté d’influencer l’élection présidentielle de 2020 et expulser 10 diplomates de Washington. Le Kremlin a déclaré que les sanctions «ne faciliteraient pas» un éventuel sommet que Biden avait offert au président russe Vladimir Poutine, avec l’avertissement que les États-Unis défendraient leurs intérêts. Le ministère russe des Affaires étrangères a déclaré qu’il y aurait une réponse décisive à ces mouvements. Les mesures américaines existantes ne sont qu’une petite partie de la myriade de sanctions en vigueur pour d’autres différends.

#Les #faits #mystère #sur #piratage #SolarWinds #Russie

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *