Certains articles de veille peuvent faire l'objet de traduction automatique.
Cela signifie qu’il existe en réalité trois sous-groupes au sein des victimes potentielles de ces attaques : Les utilisateurs d’Orion qui ont installé la porte dérobée mais qui n’ont jamais été exploités d’une autre manière ; les victimes qui ont eu des activités malveillantes sur leurs réseaux, mais qui n’étaient finalement pas des cibles attrayantes pour les attaquants ; et les victimes qui ont en fait été profondément compromises parce qu’elles détenaient des données précieuses.
« S’ils n’ont pas exfiltré les données, c’est parce qu’ils n’en voulaient pas », explique Jake Williams, ancien hacker de la NSA et fondateur de la société de sécurité Rendition Infosec. « S’ils n’ont pas pris l’accès, c’est parce qu’ils n’étaient pas intéressés ».
Malgré cela, ce premier et ce deuxième groupe doivent encore stériliser la porte dérobée pour empêcher tout accès futur. Comme il a pu analyser les indicateurs de sa propre brèche, FireEye a dirigé un effort que d’autres entreprises ont depuis rejoint pour publier des informations sur l’anatomie des attaques. Parmi les « indicateurs de compromission » figurent les adresses IP et les réponses enregistrées par le service des noms de domaine associées à l’infrastructure malveillante des attaquants. Les intervenants et les victimes peuvent utiliser ces informations pour vérifier si des serveurs ou d’autres dispositifs sur leurs réseaux ont communiqué avec les systèmes des pirates. Microsoft a également travaillé avec FireEye et GoDaddy pour développer une sorte de « kill switch » pour la porte dérobée en prenant le contrôle des adresses IP avec lesquelles le malware communique, de sorte qu’il ne puisse plus recevoir de commandes.
L’élimination de la porte dérobée est cruciale, d’autant plus que les agresseurs l’exploitent encore activement. Et maintenant que les détails techniques de leur infrastructure sont publics, il y a également un risque que d’autres pirates informatiques puissent se servir de l’accès malveillant s’il n’est pas verrouillé.
Dans l’Assemblée
Pour les victimes qui ont subi un compromis plus profond, cependant, il ne suffit pas de fermer la porte, car les agresseurs se sont déjà installés à l’intérieur.
Pour des cibles claires comme les agences gouvernementales américaines, la question est de savoir à quoi les attaquants ont exactement accès et quelle image plus large ces informations peuvent donner en termes de géopolitique, de capacités défensives et offensives américaines dans l’ensemble du département de la défense, d’infrastructures critiques, etc.
Identifier exactement ce qui a été pris est un défi et prend du temps. Par exemple, certains rapports ont indiqué que des pirates informatiques avaient pénétré dans des systèmes critiques de l’Administration nationale de la sécurité nucléaire du ministère de l’énergie, qui est responsable de l’arsenal d’armes nucléaires des États-Unis. Mais le porte-parole du DOE, Shaylyn Hynes, a déclaré jeudi dernier que si les attaquants ont bien accédé aux « réseaux d’entreprises » du DOE, ils n’ont pas violé « les fonctions de sécurité nationale essentielles à la mission du département ».
« L’enquête est en cours et la réponse à cet incident se fait en temps réel », a déclaré M. Hynes.
C’est la situation de toutes les victimes à ce stade. Certaines cibles vont découvrir qu’elles ont été touchées plus profondément qu’elles ne le croyaient au départ ; d’autres découvriront que des pirates informatiques ont donné des coups de pied dans les pneus mais n’ont pas été plus loin. C’est le principal danger d’une attaque de la chaîne d’approvisionnement comme celle de SolarWinds. Les attaquants ont accès à une grande quantité de données d’un seul coup et peuvent choisir leurs victimes tandis que les intervenants doivent rattraper le temps perdu.
Bien qu’il soit difficile d’établir l’ampleur de la situation, les chercheurs ont fait un effort concerté pour déterminer qui a été touché et à quel point. En suivant et en reliant les adresses IP, les enregistrements DNS et d’autres indicateurs d’attaques, les analystes de la sécurité développent même des méthodes pour identifier les cibles de manière proactive. Kaspersky Labs, par exemple, a publié un outil vendredi, qui décode les requêtes DNS provenant de l’infrastructure de commande et de contrôle des pirates, ce qui pourrait aider à indiquer quelles sont les cibles prioritaires des pirates.
Les nouvelles concernant la vague de piratage se poursuivront probablement pendant des semaines, car de plus en plus d’organisations identifient leur place dans la rubrique des cibles potentielles. Brad Smith, président de Microsoft a écrit à jeudi que l’entreprise a notifié à plus de 40 clients des signes d’intrusion profonde sur leurs réseaux. Et Microsoft affirme que si la grande majorité de ces victimes se trouvent aux États-Unis, certaines se trouvent dans sept autres pays : Canada, Mexique, Belgique, Espagne, Royaume-Uni, Israël et Émirats arabes unis. « Il est certain que le nombre et la localisation des victimes ne cesseront de croître », ajoute M. Smith.
Plus tard dans la nuit, Microsoft a confirmé qu’elle avait également été compromise dans la campagne.
Poster un commentaire