La brèche toujours en cours dans une société de logiciels de gestion de réseau Vents solaires pourrait avoir entraîné la transmission de code malveillant à près de 18 000 clients, a déclaré la société dans un dossier juridique lundi. Pendant ce temps, Microsoft devrait bientôt savoir qui et combien de clients SolarWinds ont été touchés, car il a récemment pris possession d’un nom de domaine clé utilisé par les intrus pour contrôler les systèmes infectés.
Le 13 décembre, SolarWinds a reconnu que des pirates avaient inséré des logiciels malveillants dans un service qui fournissait des mises à jour logicielles pour son Orion plate-forme, une suite de produits largement utilisé par le gouvernement fédéral américain et les entreprises Fortune 500 pour surveiller la santé de leurs réseaux informatiques.
Dans un dépôt le 14 décembre avec le Commission américaine des valeurs mobilières et des échanges (SEC), SolarWinds a déclaré qu’environ 33 000 de ses plus de 300 000 clients étaient des clients d’Orion, et que moins de 18 000 clients pouvaient avoir eu une installation du produit Orion contenant le code malveillant. SolarWinds a déclaré que l’intrusion avait également compromis ses comptes Microsoft Office 365.
La divulgation initiale de la violation de SolarWinds est intervenue cinq jours après que la société de réponse aux incidents de cybersécurité FireEye a annoncé avoir subi une intrusion qui a entraîné le vol de quelque 300 outils logiciels propriétaires que la société fournit à ses clients pour les aider à sécuriser leurs opérations informatiques.
Le 13 décembre, FireEye a publié un article détaillé sur l’infrastructure de logiciels malveillants utilisée dans le compromis SolarWinds, présentant des preuves que le logiciel Orion a été compromis pour la première fois en mars 2020. FireEye n’a pas explicitement dit que sa propre intrusion était le résultat du piratage de SolarWinds, mais la société l’a confirmé à BreachTrace plus tôt aujourd’hui.
Le 13 décembre également, la nouvelle a été annoncée que le piratage de SolarWinds avait conduit les attaquants à lire les communications par e-mail au Trésor américain et Commerce départements.
Le 14 décembre, Reuters signalé l’intrusion de SolarWinds avait également été utilisée pour infiltrer les réseaux informatiques au Département américain de la sécurité intérieure (EDS). Cette divulgation est intervenue moins de 24 heures après l’intervention du DHS Agence de cybersécurité et de sécurité des infrastructures (CISA) a pris la décision inhabituelle d’émettre une directive d’urgence ordonnant à toutes les agences fédérales de déconnecter immédiatement les produits Orion concernés de leurs réseaux.
ANALYSE
Les experts en sécurité ont spéculé sur l’étendue des dommages causés par le piratage de SolarWinds, passant au peigne fin les détails de l’analyse FireEye et ailleurs pour des indices sur le nombre d’autres organisations susceptibles d’avoir été touchées.
Et il semble que Microsoft soit peut-être maintenant le mieux placé pour faire le point sur le carnage. C’est parce que le 14 décembre, le géant du logiciel a pris le contrôle d’un nom de domaine clé – avsvmcloud[.]com – qui a été utilisé par les pirates de SolarWinds pour communiquer avec les systèmes compromis par les mises à jour de produits Orion dérobées.
- Une recherche WHOIS sur le domaine de contrôle des logiciels malveillants.
- Où le domaine de contrôle des logiciels malveillants pointe-t-il maintenant ? 20.140.0.1
- Une recherche WHOIS sur l’adresse IP (20.140.0.1).
Armé de cet accès, Microsoft devrait être en mesure de dire quelles organisations ont des systèmes informatiques qui essaient toujours d’envoyer un ping au domaine malveillant. Cependant, étant donné que de nombreux fournisseurs de services Internet et entreprises concernées empêchent déjà les systèmes d’accéder à ce domaine de contrôle malveillant ou ont déconnecté les services Orion vulnérables, la visibilité de Microsoft peut être quelque peu limitée.
Microsoft collabore depuis longtemps avec les enquêteurs fédéraux et les tribunaux américains pour prendre le contrôle des domaines impliqués dans les menaces mondiales de logiciels malveillants, en particulier lorsque ces sites sont principalement utilisés pour attaquer les clients Microsoft Windows.
Microsoft a esquivé les questions directes sur sa visibilité dans le domaine de contrôle des logiciels malveillants, suggérant que ces requêtes seraient mieux adressées à FireEye ou Allez papa (le registraire de domaine actuel pour le serveur de contrôle des logiciels malveillants). Mais en une réponse sur Twitter porte-parole de Microsoft Jeff Jones semblait confirmer que le contrôle du domaine malveillant avait changé de mains.
« Nous avons travaillé en étroite collaboration avec FireEye, Microsoft et d’autres pour aider à garder Internet sûr et sécurisé », a déclaré GoDaddy dans une déclaration écrite. « En raison d’une enquête en cours et de notre politique de confidentialité des clients, nous ne pouvons pas commenter davantage pour le moment. »
FireEye a refusé de répondre aux questions sur le moment exact où il a appris sa propre intrusion via le compromis Orion, ou approximativement sur le moment où les attaquants ont commencé à décharger des outils sensibles du réseau de FireEye. Mais la question est intéressante car sa réponse peut parler des motivations et des priorités des pirates.
Sur la base de la chronologie connue jusqu’à présent, les auteurs de ce piratage élaboré auraient eu une assez bonne idée en mars sur les 18 000 clients Orion de SolarWinds qui valaient la peine d’être ciblés, et peut-être même dans quel ordre.
Alain Pallerdirecteur de recherche pour le Institut SANSune société d’éducation et de formation en sécurité basée dans le Maryland, a déclaré que les attaquants ont probablement choisi de hiérarchiser leurs cibles en fonction d’un calcul du risque par rapport à la récompense.
Paller a déclaré que les méchants cherchaient probablement à équilibrer la valeur stratégique perçue de compromettre chaque cible avec la probabilité relative que leur exploitation puisse entraîner la découverte et le démantèlement de toute l’opération.
« La façon dont cela s’est probablement déroulé est que le type qui dirigeait l’équipe de cybercriminalité a demandé à ses employés de créer une feuille de calcul dans laquelle ils classaient les cibles en fonction de la valeur de ce qu’elles pouvaient obtenir de chaque victime », a déclaré Paller. « Et puis à côté de cela, ils ont probablement mis un score sur la qualité des chasseurs de logiciels malveillants sur les cibles, et ont dit, allons d’abord chercher ceux qui ont la priorité la plus élevée qui ont un score de chasseur inférieur à un certain montant. »
La brèche chez SolarWinds pourrait bien se transformer en un événement existentiel pour l’entreprise, en fonction de la réaction des clients et de la capacité de SolarWinds à surmonter les poursuites qui s’ensuivront presque certainement.
« Les procès arrivent, et j’espère qu’ils ont un bon avocat général », a déclaré James Lewisvice-président senior de la Centre d’études stratégiques et internationales. « Maintenant que le gouvernement dit aux gens d’éteindre [the SolarWinds] logiciel, la question est est-ce que quelqu’un le réactivera ? »
Selon son dossier auprès de la SEC, les revenus totaux des produits Orion pour tous les clients – y compris ceux qui auraient pu avoir une installation des produits Orion contenant la mise à jour malveillante – étaient d’environ 343 millions de dollars, soit environ 45 % des revenus totaux de l’entreprise. Le cours de l’action de SolarWinds a chuté de 25 % depuis l’annonce de la rupture.
Certaines retombées juridiques et réglementaires peuvent dépendre de ce que SolarWinds savait ou aurait dû savoir de l’incident, quand et comment il a réagi. Par example, Vinoth Kumarun « chasseur de bogues » en cybersécurité qui a gagné des primes en espèces et la reconnaissance de plusieurs entreprises pour avoir signalé des failles de sécurité dans leurs produits et services, publié sur Twitter qu’il a informé SolarWinds en novembre 2019 que le site Web de téléchargement de logiciels de l’entreprise était protégé par un simple mot de passe publié en clair sur le référentiel de code de SolarWinds sur Github.
Andrew Morrisfondateur de la société de sécurité Intelligence GreyNoiseau dit que depuis mardi soir SolarWinds n’avait toujours pas supprimé les mises à jour logicielles Orion compromises de son serveur de distribution.
Une autre question ouverte est de savoir comment ou si le nouveau Congrès américain et l’administration présidentielle réagiront à cet événement de cybersécurité apparemment vaste. Lewis, du SCRS, dit qu’il doute que les législateurs soient en mesure de s’entendre sur une réponse législative, mais il a déclaré qu’il est probable que l’administration Biden fera quelque chose.
« Ce sera une bonne nouvelle orientation pour le DHS, et l’administration peut émettre un décret stipulant que les agences fédérales dotées d’un pouvoir de réglementation doivent mieux gérer ces choses », a déclaré Lewis. « Mais celui qui a fait cela n’aurait pas pu choisir un meilleur moment pour causer un problème, car leur timing garantit presque une réponse américaine maladroite. »