Piratage de la chaîne d’approvisionnement SolarWinds
Apres l’incident de sécurité FireEye de la semaine dernière, quelques jours plus tard, il a été découvert que celle-ci provenait d’une attaque massive de la chaîne d'approvisionnement provenant du logiciel de gestion de réseau Orion de SolarWinds, qui touche de nombreuses organisations dont plusieurs grandes agences fédérales américaines. La liste des victimes est assez longue et ne caisse de s’allonger de jour en jour. A ce jour, elle est composée du département du Trésor, le département du commerce, le Pentagone et plusieurs autres entreprises et agences utilisant ce logiciel.
Les pirates qui semblent être associés au groupe de piratage Cozy Bear, alias Advanced Persistent Threat (APT) group 29, qui fait partie de la branche SVR des services de renseignement russes, se sont infiltrés dans les opérations de développement de SolarWinds et ont réussi à insérer des logiciels malveillants dans une mise à jour qui a été distribuée par l’entreprise en mars. Une fois installé, logiciel malveillant contacte un réseau de commande et de contrôle géré par le groupe de piratage, ce qui leur a permis de s’infiltrer dans le réseau et d’apporter d’autres mesures. Vu que le correctif provenait de l’entreprise et avait été signé numériquement par SolarWinds, peu de sociétés se sont rendu compte que leur logiciel était compromis jusqu’à présent.
SolarWinds fabrique un logiciel de système de gestion de réseau (NMS) qui surveille toutes les opérations d'un réseau et a la capacité d'intercepter et d'examiner le trafic du réseau et les systèmes qui y sont connectés. Le logiciel malveillant livré avec le code a été conçu sur mesure pour ce piratage et est assez sophistiqué. Cela signifie que tout hacker qui a le contrôle de ce logiciel pourrait l'utiliser pour éventuellement renifler des mots de passe, trouver des machines vulnérables et les attaquer pour les répandre sur un réseau. En effet, il y a de fortes chances que si un pirate s'introduisait sur un réseau avec le contrôle de ce logiciel, il aurait une forte probabilité de pirater d'autres machines et d'obtenir une persistance et un contrôle plus importants.
Etant donné l'omniprésence de ces logiciels dans les grandes entreprises et les gouvernements, une grande partie du gouvernement fédéral américain pourrait avoir été ou être encore piratée par un puissant acteur malveillant, ainsi que par de nombreux autres gouvernements et grandes entreprises. Il faudra peut-être des années pour découvrir le véritable impact de cet événement et certains piratages pourraient ne jamais être découverts.
Il est important de mentionner que tous les clients de SolarWinds ne sont pas vulnérables à ce hack, et que ce dernier concerne seulement les utilisateurs de la plateforme logicielle Orion ainsi que ceux qui ont chargé la mise à jour de mars. D’après SolarWinds, le nombre de clients dotés de cette mise à jour est aux alentours de 18 000.