Les systèmes du fournisseur de logiciels SolarWinds ont été compromis suite à une cyberattaque

FireEye a révélé hier que des pirates informatiques, qui agiraient pour le compte d'un gouvernement étranger, ont ouvert une brèche dans le système du fournisseur de logiciels SolarWinds, leur permettant ensuite de déployer une mise à jour de son logiciel Orion pour infecter les réseaux de plusieurs entreprises et organisations gouvernementales des Etats-Unis.

L'attaque sur SolarWinds a également permis aux pirates d'accéder par rebond au réseau de FireEye, ce que la société de cybersécurité révélait la semaine dernière.

Le groupe de hackers APT29 soupçonné

D'après le Washington Post, plusieurs sources affirment que d'autres agences gouvernementales ont également été touchées. Selon Reuters, l'incident a été jugé si grave qu'il a conduit à une réunion du Conseil national de sécurité des Etats-Unis à la Maison blanche samedi – et ces réunions sont très rares.

Les sources du Washington Post mentionnent que l'intrusion serait liée au groupe APT29, un nom de code utilisé par l'industrie de la cybersécurité pour désigner des attaquants liés aux services russes de renseignement extérieur.

FireEye n'a pas voulu confirmer cette information. Au lieu de ça, l'entreprise a donné au groupe un nom de code neutre, UNC2452. Malgré tout, plusieurs sources de la communauté de la cybersécurité ont confirmé que les soupçons du gouvernement américain sur APT29 semblent se confirmer, sur la base des éléments actuels.

Au travers d'alertes envoyées dimanche, Microsoft a également confirmé que SolarWinds avait été compromis. L'éditeur a notamment diffusé des contre-mesures aux clients qui auraient pu être affectés.

Le malware SUNBURST a été déployé via des mises à jour d'Orion

SolarWinds a publié ce dimanche un communiqué de presse reconnaissant le piratage d'Orion, une plateforme logicielle de surveillance et de gestion centralisée, généralement utilisée dans les grands réseaux pour garder une trace de toutes les ressources informatiques, comme les serveurs, les postes de travail, les mobiles et les objets connectés. La société de logiciels précise que les mises à jour d'Orion comprises entre les versions 2019.4 et 2020.2.1, publiées entre mars 2020 et juin 2020, sont contaminées par des logiciels malveillants.

FireEye a nommé ce malware SUNBURST. L'entreprise de cybersécurité a publié un rapport technique à son sujet plus tôt dans la journée, ainsi que des règles de détection sur GitHub.

Une campagne largement répandue

Pour l'heure, le nombre de victimes n'a pas été communiqué. Malgré ce que semblaient énoncer les premières enquêtes publiées ce dimanche, la campagne de piratage semble s'étendre au-delà des Etats-Unis.

« La campagne est très répandue et touche des organisations publiques et privées du monde entier », avertit FireEye. « Parmi les victimes, on compte des administrations, des consultants, des entreprises de technologie et de télécommunications en Amérique du Nord, en Europe, en Asie et au Moyen-Orient. D'autres victimes sont à prévoir, dans d'autres pays et d'autres secteurs », ajoute la société.

SolarWinds prévoit de publier une nouvelle mise à jour (2020.2.1 HF 2) mardi 15 décembre, afin de « remplacer le composant compromis et apporter plusieurs améliorations supplémentaires en matière de sécurité ».


Sources : FireEye, ZDNet