La SEC a inculpé quatre sociétés-Unisys Corp, Avaya Holdings, Check Point Software et Mimecast—pour avoir prétendument trompé les investisseurs sur l’impact de leurs violations lors du piratage massif de SolarWinds Orion en 2020.
« La Securities and Exchange Commission a accusé aujourd’hui quatre sociétés publiques actuelles et anciennes – Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd et Mimecast Limited-d’avoir fait des divulgations matériellement trompeuses concernant les risques de cybersécurité et les intrusions », annonce la SEC dans un communiqué de presse de mardi.
« La SEC a également accusé Unisys de violations des contrôles de divulgation et des procédures. »
Ces sociétés ont accepté de payer des pénalités civiles pour régler les frais de la SEC. Unisys paiera 4 millions de dollars, Avaya paiera 1 million de dollars, Check Point paiera une pénalité civile de 995 000 dollars et Mimecast paiera une pénalité de 990 000 dollars.
Ces amendes interviennent après que la SEC a allégué qu’Unisys Corp, Avaya Holdings, Check Point Software, Unisys Corp, Avaya Holdings, Check Point Software et Mimecast avaient tous minimisé les violations subies lors de l’attaque de la chaîne d’approvisionnement de SolarWinds, laissant les investisseurs dans l’ignorance de l’impact potentiel de l’attaque.
« Selon les ordonnances de la SEC, Unisys, Avaya et Check Point ont appris en 2020, et Mimecast a appris en 2021, que l’acteur menaçant probablement à l’origine du piratage de SolarWinds Orion avait accédé à leurs systèmes sans autorisation, mais chacun a négligemment minimisé son incident de cybersécurité dans ses divulgations publiques », poursuit l’annonce de la SEC.
« L’ordonnance de la SEC contre Unisys conclut que la société a décrit ses risques liés aux événements de cybersécurité comme hypothétiques alors qu’elle savait qu’elle avait subi deux intrusions liées à SolarWinds impliquant l’exfiltration de gigaoctets de données. »
L’enquête de la SEC a révélé qu’Avaya affirmait que les auteurs de la menace n’accédaient qu’à un nombre limité de messages électroniques lorsqu’ils savaient qu’au moins 145 fichiers de son environnement de stockage en nuage étaient également consultés.
L’enquête sur Check Point a révélé que l’entreprise savait qu’elle avait été violée, mais a minimisé l’impact en utilisant des « termes génériques. »
Pour Mimecast, la SEC a constaté que l’entreprise avait minimisé l’attaque en ne divulguant pas la nature du code volé et le nombre d’informations d’identification cryptées auxquelles elle avait accédé pendant la violation.
En 2019, la société de logiciels informatiques SolarWinds a été piratée par le groupe de piratage parrainé par l’État russe connu sous le nom d’APT29, la division de piratage du Service de renseignement extérieur russe (SVR).
Dans le cadre de l’attaque, les auteurs de la menace ont trojan la plate-forme d’administration informatique SolarWinds Orion et les mises à jour ultérieures publiées entre mars 2020 et juin 2020.
Ces mises à jour malveillantes ont été transmises aux clients de SolarWinds pour qu’ils déposent une variété de logiciels malveillants, y compris la porte dérobée Sunburst sur les systèmes de « moins de 18 000 » victimes. Cependant, les attaquants ont sélectionné un nombre nettement inférieur de cibles pour une exploitation de deuxième étape.
Plusieurs entreprises et agences gouvernementales américaines ont par la suite confirmé qu’elles avaient été violées, notamment Microsoft, FireEye, le Département d’État, le Département de la Sécurité intérieure (DHS), le Département du Trésor, le Département de l’Énergie (DOE), les National Institutes of Health (NIH) et la National Nuclear Security Administration (NNSA).