Communication au Trésor américain et Départements commerciaux auraient été compromis par une attaque de la chaîne d’approvisionnement contre Vents solaires, un fournisseur de sécurité qui aide le gouvernement fédéral et un éventail d’entreprises du Fortune 500 à surveiller la santé de leurs réseaux informatiques. Compte tenu de l’étendue de la clientèle de l’entreprise, les experts affirment que l’incident n’est peut-être que la première de nombreuses révélations de ce type.
Certains clients de SolarWinds. Source: solarwinds.com
Selon une histoire de Reuters, des pirates soupçonnés de travailler pour la Russie surveillent le trafic de messagerie interne des départements du Trésor et du Commerce des États-Unis. Reuters rapporte que les attaquants ont pu altérer subrepticement les mises à jour publiées par SolarWinds pour son Plateforme Orionune suite d’outils de gestion de réseau.
Dans un avis de sécuritéSolarWinds, basé à Austin, au Texas, a reconnu que ses systèmes « ont subi une attaque manuelle très sophistiquée de la chaîne d’approvisionnement sur les versions logicielles de la plate-forme SolarWinds Orion pour les versions 2019.4 HF 5 à 2020.2.1, publiées entre mars 2020 et juin 2020 ».
En réponse aux intrusions au Trésor et au Commerce, le département de la Sécurité intérieure Agence de cybersécurité et de sécurité des infrastructures (CISA) a pris la décision inhabituelle d’émettre une directive d’urgence ordonnant à toutes les agences fédérales de déconnecter immédiatement les produits Orion concernés de leurs réseaux.
« Traitez tous les hôtes surveillés par le logiciel de surveillance SolarWinds Orion comme compromis par les acteurs de la menace et supposez que d’autres mécanismes de persistance ont été déployés », a conseillé la CISA.
UNE article de blog par Microsoft dit que les attaquants ont pu ajouter du code malveillant aux mises à jour logicielles fournies par SolarWinds pour les utilisateurs d’Orion. « Cela permet à l’attaquant de prendre pied dans le réseau, qu’il peut utiliser pour obtenir des informations d’identification élevées », a écrit Microsoft.
À partir de là, les attaquants pourraient forger des jetons d’authentification unique qui usurpent l’identité de n’importe quel utilisateur et compte existant de l’organisation, y compris les comptes hautement privilégiés sur le réseau.
« En utilisant des comptes hautement privilégiés acquis via la technique ci-dessus ou d’autres moyens, les attaquants peuvent ajouter leurs propres informations d’identification aux principaux de service d’application existants, leur permettant d’appeler des API avec l’autorisation attribuée à cette application », a expliqué Microsoft.
Un code malveillant ajouté à une mise à jour logicielle d’Orion peut ne pas avoir été détecté par un logiciel antivirus et d’autres outils de sécurité sur les systèmes hôtes, en partie grâce aux conseils de SolarWinds lui-même. Dans cet avis de soutienSolarWinds indique que ses produits peuvent ne pas fonctionner correctement à moins que leurs répertoires de fichiers ne soient exemptés des analyses antivirus et des restrictions d’objets de stratégie de groupe.
L’article de Reuters cite plusieurs sources anonymes affirmant que les intrusions dans les départements du Commerce et du Trésor pourraient n’être que la pointe de l’iceberg. Cela semble être un pari juste.
Vents solaires dit elle compte plus de 300 000 clients dont :
-plus de 425 du Fortune 500 américain
-toutes les dix des dix premières entreprises de télécommunications américaines
-les cinq branches de l’armée américaine
-les cinq des cinq plus grands cabinets comptables américains
-le Pentagone
-le Département d’Etat
-l’Agence Nationale de Sécurité
-le ministère de la justice
-La maison Blanche.
On ne sait pas combien de clients répertoriés sur le site Web de SolarWinds sont des utilisateurs des produits Orion concernés. Mais Reuters rapporte que l’attaque de la chaîne d’approvisionnement contre SolarWinds est liée à une vaste campagne qui impliquait également le piratage récemment révélé chez FireEyeoù les pirates ont eu accès à une multitude d’outils propriétaires que l’entreprise utilise pour aider les clients à trouver les failles de sécurité de leurs ordinateurs et de leurs réseaux.
On pense que les compromis au sein des agences fédérales américaines remontent au début de l’été et sont imputés à des pirates informatiques travaillant pour le gouvernement russe.
Dans son propre avis, FireEye mentionné plusieurs mises à jour empoisonnées par un programme de porte dérobée malveillant ont été signées numériquement avec un certificat SolarWinds de mars à mai 2020 et publiées sur le site Web de mise à jour de SolarWindws.
FireEye postule que l’impact du piratage sur SolarWinds est généralisé, affectant les organisations publiques et privées du monde entier.
« Les victimes comprennent des entités gouvernementales, de conseil, de technologie, de télécommunications et d’extraction en Amérique du Nord, en Europe, en Asie et au Moyen-Orient », ont écrit les analystes de la société. « Nous prévoyons qu’il y aura des victimes supplémentaires dans d’autres pays et marchés verticaux. »
Mise à jour, 20 h 30 HE : Une version antérieure de cette histoire indiquait à tort que FireEye attribuait l’attaque SolarWinds à APT29. Cette information a été retirée de l’histoire.