Les dommages engendrés par le piratage chez SolarWinds s’amplifient
On n’en a pas encore fini avec le piratage chez SolarWinds. Les suites de ce piratage à grande échelle sont en effet encore loin d’être terminées. Voilà ce qu’annonce la firme de sécurité NTT dans son rapport mensuel sur les menaces.
Les effets du piratage chez SolarWinds, qui remonte entre-temps à un an environ, se font encore et toujours sentir, selon NTT. Le 20 février de l’année dernière, la firme SolarWinds, qui fournit du software de gestion, était piratée. Une mise à jour du logiciel de l’entreprise fut ensuite exploitée pour effectuer une attaque de type ‘supply chain’ sur toute une série de firmes et d’organisations: de Microsoft et Cisco jusqu’à diverses instances publiques américaines.
Le malware, baptisé Sunburst, aurait touché 17.000 clients de SolarWinds. Pour installer leur porte dérobée dans la mise à jour, les pirates ont utilisé un fragment de software appelé Sunspot par les analystes et spécialement mis au point pour les processus de développement logiciels de SolarWinds, afin de contourner ainsi la sécurité du software. Ce malware avait été retiré en juin dernier du système de SolarWinds, afin d’effacer toute trace.
On ignore précisément combien de clients SolarWinds ont rapatrié et installé le maliciel. Ce qu’on sait par contre, c’est que les hackers ne sont pas restés les bras croisées durant la période séparant la mise à jour Sunburst et l’annonce de la fuite en décembre.
C’est ainsi que des chercheurs ont encore découvert d’autres maliciels sur les ordinateurs de victimes, laissés probablement par les mêmes agresseurs, notamment Teardrop, un ‘dropper’ utilisé pour télécharger et lancer un quatrième malware, Cobalt Strike Beacon. Ce dernier est un petit outil permettant aux pirates de se déplacer latéralement dans les réseaux et ainsi de sauter d’un ordinateur à l’autre.
Liens avec des autorités
Si tout cela peut paraître très compliqué, c’est parce que les firmes de sécurité partent entre-temps du principe qu’il est question d’un groupe d’agresseurs sophistiqués, sponsorisés probablement par un pays. Le code et la façon de faire renvoient entre autres à UNC2452 alias ‘Dark Halo’ et à APT29 alias Cozy Bear, tous deux associés au service secret russe. Les autorités russes démentent toute implication dans le piratage.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici