0

  • Votre panier est vide.

  • LOGIN

Personne ne sait à quel point le piratage informatique en Russie est profond

Certains articles de veille peuvent faire l'objet de traduction automatique.

Depuis que En mars dernier, les pirates informatiques russes ont versé une larme sinistre. En glissant des mises à jour contaminées dans une plate-forme de gestion informatique largement utilisée, ils ont pu toucher les départements américains du commerce, du trésor et de la sécurité intérieure, ainsi que le la société de sécurité FireEye. En vérité, personne ne sait où s’arrêtent les dégâts ; étant donné la nature de l’attaque, des milliers d’entreprises et d’organisations sont littéralement en danger depuis des mois. La situation ne fait qu’empirer à partir de là.

Les attentats, d’abord rapporté par Reuters dimanche, ont apparemment été réalisés par des pirates informatiques du SVR, le service de renseignement extérieur russe. Ces acteurs sont souvent classés APT 29 ou « Cozy Bear », mais les responsables de l’incident tentent toujours de reconstituer l’origine exacte des attaques au sein de l’appareil militaire russe de piratage. Les compromis remontent tous à SolarWinds, une société de gestion d’infrastructures et de réseaux informatiques dont les produits sont utilisés par le gouvernement américain, par de nombreux entrepreneurs du secteur de la défense et par la plupart des entreprises du classement Fortune 500. SolarWinds a déclaré dans un déclaration dimanche que des pirates informatiques avaient réussi à modifier les versions d’un outil de surveillance du réseau appelé Orion que l’entreprise avait publié entre mars et juin.

« Nous avons été informés que cette attaque a probablement été menée par un État étranger et qu’elle était destinée à être une attaque étroite, extrêmement ciblée et exécutée manuellement, par opposition à une attaque large, à l’échelle du système », a écrit la société.

SolarWinds a des centaines de milliers de clients en tout ; elle a déclaré lundi, dans un communiqué de la Securities and Exchange Commission, que jusqu’à 18 000 d’entre eux étaient potentiellement vulnérables à l’attaque.

Les deux FireEye et Microsoft a détaillé le déroulement de l’attaque. Tout d’abord, les pirates ont compromis le mécanisme de mise à jour Orion de SolarWinds afin que ses systèmes puissent distribuer des logiciels corrompus à des milliers d’organisations. Les attaquants ont ensuite pu utiliser le logiciel Orion manipulé comme une porte dérobée vers les réseaux des victimes. De là, ils pouvaient se déployer dans les systèmes cibles, souvent en volant des jetons d’accès administratifs. Enfin, avec les clés du royaume – ou de larges portions de chaque royaume – les pirates étaient libres de mener des reconnaissances et d’exfiltrer des données.

Ce genre de soi-disant attaque de la chaîne d’approvisionnement peut avoir de graves conséquences. En compromettant une entité ou un fabricant, les pirates peuvent saper la sécurité de la cible de manière efficace et à grande échelle.

Ce ne serait pas la première fois que la Russie compterait sur une attaque de la chaîne d’approvisionnement pour avoir un impact important. En 2017, les services de renseignement militaire du pays ont utilisé l’accès au logiciel de comptabilité ukrainien MeDoc pour libérer son logiciel malveillant destructeur NotPetya dans le monde entier. L’attaque contre SolarWinds et ses clients semble avoir été axée sur la reconnaissance ciblée plutôt que sur la destruction. Mais avec des opérations silencieuses et nuancées, il existe toujours un risque très réel que l’étendue des dégâts ne soit pas immédiatement connue. Une fois que les attaquants se sont intégrés dans les réseaux cibles – ce que l’on appelle souvent « établir la persistance » – la simple mise à jour du logiciel compromis ne suffit pas à les débusquer. Ce n’est pas parce que Cozy Bear a été pris que le problème est résolu.

En fait, FireEye a souligné dimanche que l’attaque est actuellement en cours. Le processus d’identification des infections potentielles et de recherche de leur source prendra du temps.

« Les attaquants en question ont été particulièrement discrets dans l’utilisation des infrastructures de réseau », explique Joe Slowik, chercheur au sein de la société de renseignement sur les menaces DomainTools. « Il semble notamment qu’ils aient largement compté sur le renouvellement ou le réenregistrement de domaines existants plutôt que sur la création d’éléments complètement nouveaux, et qu’ils aient utilisé divers services d’hébergement en nuage pour l’infrastructure réseau ». Ces techniques aident les attaquants à masquer les indices sur leur identité, à couvrir leurs traces et, en général, à se fondre dans le trafic légitime.

Il est également difficile de se faire une idée de l’ampleur des dégâts car Orion est lui-même un outil de surveillance, mettant en place une sorte de « qui surveille les surveillants ». Pour cette même raison, les systèmes accordent également à Orion une confiance et des privilèges sur les réseaux d’utilisateurs qui ont de la valeur pour les attaquants. Les victimes et les cibles potentielles doivent envisager la possibilité que ces attaques également compromis une grande partie de leurs autres infrastructures et mécanismes d’authentification utilisant l’accès omniprésent d’Orion. L’ampleur de l’exposition des agences gouvernementales américaines est encore inconnue ; la révélation que le DHS a également été touché n’a pas eu lieu avant lundi après-midi.

Voir aussi :

juin 17, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)