Un nouveau cheval de Troie, SUNBURST, attaque l’administration américaine (entre autres)

La cyberattaque, qui a commencé à être exploitée au printemps dernier, a visé de nombreuses entités de l'administration américaine, outre des organisations publiques et privées à travers le monde. Potentiellement attribuée à la Russie, il s'agirait de l'une des plus inquiétantes identifiées depuis des années.

Des pirates informatiques surveillent le courrier électronique interne des départements du Trésor et du Commerce des États-Unis, révèle l'agence Reuters. L'attaque serait si grave qu'elle a entraîné une réunion du Conseil de sécurité nationale à la Maison Blanche samedi, a déclaré l'une des personnes au courant du dossier.

Le gouvernement américain n'a pas identifié publiquement qui pourrait être à l'origine du piratage, mais trois des personnes proches de l'enquête ont déclaré à l'agence que la Russie serait responsable de l'attaque.

Des cyber-espions seraient entrés en falsifiant subrepticement des mises à jour publiées par la plateforme Orion de la société informatique SolarWinds, qui sert des clients gouvernementaux, de l'armée et des services de renseignement, selon deux personnes proches du dossier. L'astuce – souvent appelée « attaque de la chaîne d'approvisionnement » (Supply chain attack, en VO) – fonctionne en cachant le code malveillant dans les mises à jour logicielles légitimes fournies aux cibles par des tiers.

Dans un communiqué publié dimanche soir, la société basée à Austin, au Texas, a déclaré que les mises à jour de son logiciel de surveillance publiées entre mars et juin de cette année avaient peut-être été corrompues par ce qu'elle a décrit comme une « attaque de la chaîne d'approvisionnement très sophistiquée, ciblée et manuelle, par un État-nation. »

SolarWinds indique sur son site Web que ses clients comprennent la plupart des entreprises américaines du Fortune 500, les 10 principaux fournisseurs de télécommunications américains, les cinq branches de l'armée américaine, le département d'État, la National Security Agency et le bureau du président des États-Unis.

La campagne est au niveau « 10 » sur une échelle de un à 10

Plusieurs sources ont décrit l'attaque au Wall Street Journal comme l'une des plus inquiétantes depuis des années, car elle a peut-être permis à la Russie d'accéder à des informations sensibles des agences gouvernementales, des industriels de la défense et d'autres industries. L'une d'entre elles a déclaré que la campagne était au niveau « 10 » sur une échelle de un à 10, en termes de gravité probable et de conséquences pour la sécurité nationale.

L'ambassade de Russie à Washington a nié toute responsabilité et a déclaré que les allégations étaient des « tentatives non fondées des médias américains de blâmer la Russie ».

Signe de la sévérité de la menace, la Cybersecurity and Infrastructure Security Agency a publié une directive d'urgence demandant à toutes les agences civiles fédérales d'examiner leurs réseaux pour d'éventuels compromis et d'arrêter immédiatement l'utilisation des produits SolarWinds Orion. Depuis sa création en novembre 2018, la CISA n'avait jusque là émis que quatre directives de ce genre.

L'attaque aurait « peut-être commencé dès le printemps 2020 »

La société de cybersécurité FireEye, qui en a elle-même été victime, estime que « les acteurs derrière cette campagne ont eu accès à de nombreuses organisations publiques et privées à travers le monde ». Les victimes d'ores et déjà identifiées comprenaient des entités gouvernementales, de conseil, de technologie, de télécommunications et d'extraction en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.

L'attaque aurait « peut-être commencé dès le printemps 2020 », serait toujours en cours et serait « l'œuvre d'un acteur hautement qualifié et l'opération a été menée avec une sécurité opérationnelle importante » :

« L'activité post-compromission de cette campagne a été menée avec une grande considération pour la sécurité opérationnelle, en tirant souvent parti d'une infrastructure dédiée par intrusion. Il s'agit de l'une des meilleures sécurités opérationnelles observées par FireEye lors d'une cyberattaque ».

Pour permettre à la communauté de détecter cette porte dérobée, surnommée SUNBURST, FireEye décrit les détails techniques de l'attaque, met en ligne des indicateurs et des signatures sur son GitHub et explique les recommandations et instructions à suivre.

Microsoft a de son côté constaté que la porte dérobée, qu'elle a dénommée Solorigate, a permis aux attaquants d'ajouter des informations d'identification (clés x509 ou informations d'identification de mot de passe) et d'obtenir des jetons d'accès leur permettant de lire le contenu des courriels à partir d'Exchange Online. Dans de nombreux cas, les utilisateurs ciblés sont les personnels clés de l'informatique et de la sécurité, précise Microsoft.

Ironie de l'histoire, SolarWinds avait publié sur LinkedIn il y a 3 semaines une offre d'emploi de vice-président à la sécurité, « responsable de la sécurité globale de l'organisation ». Plus de 200 candidats ont d'ores et déjà postulé.