Les investisseurs ont-ils été alertés d’une attaque imminente imputant la responsabilité de l’entreprise ? Le timing interroge.

Les investisseurs de chez SolarWinds ont-ils eu connaissance d’une cyberattaque imminente permise par l’exploitation d’une faille dans leurs produits ? C’est ce que pourrait suggérer un important volume de vente des actions de l’entreprise dans les jours qui ont précédé plusieurs cyberattaques.

Près de 280 millions de dollars d’actions SolarWinds ont été vendues par plusieurs gros investisseurs de l’entreprise, six jours avant que FireEye n’annonce avoir été la victime d’une cyberattaque, révèle le Washington Post ce 16 décembre 2020. Quelques jours plus tard, ce sont les départements du Trésor et du Commerce américains qui ont été la cible d’une cyberattaque similaire.

FireEye a révélé dans un communiqué que l’attaque avait été permise par l’exploitation d’une faille dans les mises à jour de logiciels de SolarWinds, fournisseur de certaines administrations américaines dont les deux départements victimes de l’attaque. Les actions de SolarWinds ont depuis perdu 22 % de leur valeur, précise le Washington Post.

Si il est difficile d’établir la date de prise de connaissance de l’information par les investisseurs de l’entreprise, le timing devrait inciter certains services de sécurité fédérale à diligenter une enquête, ajoute le Washington Post.

Les hackers ont introduit un malware, dénommé Sunburst, dans chacune des versions d’Orion entre mars et juin 2020, a révélé l’entreprise dans un communiqué de presse paru le 13 décembre dernier, tout en précisant dans une note d’information qu’aucun autre produit n’avait été compromis.

Ces informations n’ont pas empêché Microsoft de placer l’ensemble des applications de SolarWinds en quarantaine dès ce mercredi 8h du matin, rapporte le journal ZDNet.

Vulnérabilité dans Orion

Les tentacules de la responsabilité dans le hacking de plusieurs administrations et entreprises américaines – désormais appelé Solorigate – n’en finissent plus de s’étendre. L’entreprise JetBrains se retrouve éclaboussée par le scandale mais nie toute responsabilité.

Le Federal Bureau of Investigation (FBI) ainsi que plusieurs experts en cybersécurité enquêteraient sur la responsabilité de l’entreprise tchèque JetBrains - l’un des fournisseurs de SolarWinds - dans l’affaire dite du Solorigate, ont appris plusieurs médias, le 6 janvier 2021.

SolarWinds est au cœur du scandale après qu’une faille dans l’un de ses logiciels ait permis de s’introduire dans les systèmes de plusieurs administrations et entreprises américaines, dont Google. Les États-Unis pensent que le hacking est l’œuvre de la Russie.

Recherche de backdoors dans TeamCity

Les enquêtes visent à montrer si les hackers ont introduit des backdoors dans le logiciel TeamCity, un outil CI/CD de jetBrains utilisé par SolarWinds, pour mener ce qui serait à ce jour la plus grande cyberattaque de l’histoire des États-Unis, rappelle le New York Times.

JetBrains a nié toute responsabilité et indiqué ne pas être au courant des enquêtes dans un communiqué rédigé par son directeur Maxim Shafyrov et publié sur son site, le 6 janvier.

« JetBrains n’a pas pris part ni n’est lié à l’attaque [sur SolarWinds] d’une quelconque manière. […] SolarWinds ne nous a pas contacté ni informé d’une faille dans ses systèmes. La seule information dont nous disposons est celle qui a été rendue publique », écrit-il.

De son côté, SolarWinds vient d’embaucher Christopher Krebs, l'ancien chef de la cybersécurité de la Maison-Blanche renvoyé par Donald Trump en deux tweets en novembre dernier pour avoir remis en question les suspicions de fraudes électorales soulevées par Donald Trump. Il interviendra comme consultant indépendant pour aider l’entreprise dans sa communication de crise, a indiqué le Financial Times.

Au sommaire de ce numéro 2, deux dossiers - Gestion de crise et Identités & accès (IAM) - ainsi qu'une analyse de la cyberattaque contre SolarWinds et une enquête sur l'affaire de rançongiciel dont Sopra Steria a été victime.

L'1FO-CR journal des risque cyber n°2 daté 1er trimestre 2021 est disponible. Édité par PC Presse tout comme L'Informaticien, L'1FO-CR devait paraître à l'occasion du Forum International de la Cybersécurité à Lille fin janvier. Comme on le sait, en raison de la pandémie, cet événement a été reporté d'abord en avril puis en juin avec une option sur septembre. PC Presse adapte donc son calendrier de parutions aux circonstances. Pas d'édition "papier" de L'1FO-CR n°2 pour le moment mais une parution immédiate en format numérique PDF puis une parution physique augmentée d'un cahier supplémentaire dès que les conditions sanitaires permettront à nouveau la tenue des rencontres professionnelles essentielles pour la communication des partenaires annonceurs du journal.

A lire sur cette page un extrait de l'article "Comment Sopra Steria a déjoué l'attaque du rançongiciel Ryuk ?"

S'abonner à L'1FO-CR journal des risques cyber

Plusieurs employés du Department of Homeland Security (DHS) ont été la cible de l’attaque SolarWinds. Ni l’étendue ni le contenu de la compromission ne sont pour l’instant connus.

Après les révélations de plusieurs administrations et entreprises américaines ayant été ciblées par l’une des cyberattaques les plus importantes de l’histoire américaine, voici qu’une nouvelle administration – beaucoup plus sensible – vient s’ajouter à une liste dont il semble, pour l’heure, impossible à mesurer la longueur.

Le Department of Homeland Security (DHS), c'est-à-dire le département de la sécurité intérieure américain, a été la cible de la cyberattaque SolarWinds, a révélé l’Associated Press, le 29 mars, auprès d’une douzaine de sources anonymes.

Certains emails de Chad Wolf, ancien secrétaire à la sécurité intérieure des États-Unis sous la présidence de Donald Trump, ainsi que plusieurs membres de son équipe ont notamment été compromis. « Un petit nombre de comptes d’employés » auraient été attaqués, selon Sarah Peck, porte-parole de la DHS, citée par AP, qui indique qu’aucune trace de compromission n’est à observer depuis. L’étendue et le contenu des informations compromises n’ont pas été renseignés.

« Du jamais vu »

Les autorités américaines continuent à soupçonner la cyberattaque comme étant liée à l’État russe même si ce dernier a toujours nié un quelconque rôle dans cette attaque. Selon Associated Press, l’administration Biden réfléchirait à « un arsenal d’options » en réponse à cette attaque, sans pour l’instant les préciser.

Dans une interview pour la chaîne américaine CBS, le directeur de Microsoft Brad Smith avait estimé que plus de 1000 ingénieurs étaient derrière l’attaque de SolarWinds, la qualifiant de la « plus sophistiquée et importante que le monde ait jamais vu ».

Alors que plusieurs enquêtes avaient identifié l’existence d’un deuxième malware appelé Supernova, voici que les résultats de recherche d’une entreprise de cybersécurité l’attribuent à une organisation chinoise.

On l’avait presque oublié. Supernova, un deuxième malware au sein d’Orion d’abord identifié par les équipes de Google en décembre dernier, donne une tournure à l’affaire Solorigate toujours plus géopolitique. Après la Russie, responsable désigné par les États-Unis pour le malware Sunburst, voici que la Chine y aurait également pris part.

Supernova, un web shell .NET également infiltré dans l’application Orion, proviendrait d’un espion d’origine chinoise appelé Spiral, ont révélé les résultats de recherche de SecureWorks, une entreprise de cybersécurité américaine, dans un article de blog publié le 8 mars 2021.

Les deux attaques sur Orion ne sont pas reliées selon les conclusions de SecureWorks.

Plus de 1000 ingénieurs derrière l’attaque

Spiral aurait exploité une vulnérabilité d’identification API (intitulée CVE-2020-10148) chez Orion pour exécuter un script de reconnaissance et implanté Supernova.

Bien que les web shells en .NET soient relativement communs, celui utilisé dans le cadre de Supernova témoigne d’un grand niveau de sophistication, ont écrit les chercheurs de Unit 42, un laboratoire rattaché à Palo Alto Networks, dans un article, le 17 décembre 2020.

Dans une interview pour la chaîne américaine CBS, le directeur de Microsoft Brad Smith avait estimé que plus de 1000 ingénieurs étaient derrière l’attaque de SolarWinds, la qualifiant de la « plus sophistiquée et importante que le monde ait jamais vu ».

Malwarebytes est la 4ème entreprise majeure à révéler en avoir été la cible bien que les dégâts chez elle paraissent avoir été très limités.

Jusqu’où s’arrêtera l’affaire du Solorigate ? Après plusieurs administrations américaines ainsi que des entreprises telles que Google, FireEye ou encore CrowdStrike, c’est au tour de Malwarebytes de déclarer en avoir été la cible.

Malwarebytes a été la cible d’un hacking en lien avec l’affaire du Solorigate, son dirigeant et fondateur Marcin Kleczynski a révélé dans un article de blog, le 19 janvier 2021. Les hackers auraient eu accès à quelques emails internes à l’entreprise.

« Nous pouvons confirmer l’existence d’une intrusionrésultant d’un abus sur des accès privilégiés à Microsoft Office 365 et les environnements Azure », a-t-il écrit. « A la suite de notre enquête, nous avons établi que les hackers ont eu accès à un nombre réduit de mails internes à l’entreprise. »Aucune compromission ou accès non-autorisé n’a été observé sur des productions internes, a ajouté Marcin Kleczynski.

Malwarebytes pense que l’attaque provient d’une puissance étrangère, très probablement la Russie, et en lien avec l’attaque sur SolarWinds, une analyse partagée par plusieurs organisations de cybersécurité et de défense américaines dans un communiqué conjoint, le 5 janvier.

Selon les détails fournis par l’entreprise, Malwarebytes a observé une activité suspecte d’un tiers sur son Microsoft Office 365 le 15 décembre 2020, utilisant les mêmes techniques que l’attaque sur SolarWinds. Aurait été exploitée une faille d’Azure Active Directory.

« Bien que nous ayons énormément appris[de cette attaque] en un temps relativement court, il reste bien plus à découvrir à l’égard de cette longue et active campagne ayant impacté d’importantes cibles »,a rappelé Marcin Kleczynski.

Dans un long communiqué, l’entreprise a dit avoir identifié 40 entreprises et administrations, principalement américaines, victimes de la cyberattaque sur SolarWinds et a listé trois pistes futures dans la lutte contre la cybercriminalité.

Il faut se réveiller. C’est en tout cas l’appel qu’a lancé Microsoft sur les enjeux de demain face à des cyberattaques de plus en plus larges, de mieux en mieux organisées et de plus en plus sophistiquées.

Microsoft a proposé trois pistes pour lutter contre les dangers des cyberattaque, dans un communiqué publié jeudi 17 décembre, dans un contexte où les attaques étatiques se multiplient, se privatisent et profitent de la crise du coronavirus, liste l'éditeur de logiciels. Le hacking des softwares de SolarWinds, ayant provoqué des attaques coordonnées sur FireEye ainsi que plusieurs administrations américaines la semaine dernière, en est le dernier exemple.

« Ce n’est pas « de l’espionnage traditionnel », même à l’ère du digital. C’est un acte dangereux et imprudent qui crée de sérieuses vulnérabilités technologiques pour les États-Unis et le monde. »met en garde Microsoft. « […] Chaque pays encourt un risque et a besoin d’une protection indépendante de [son] gouvernement. »

Judiciarisation

Microsoft souhaite que les données de cybersécurité soient échangées à l'échelon national plus librement entre les acteurs du secteur et que des lois internationales rendent justiciables les attaques coordonnées à échelle étatique, une demande visant particulièrement des États comme la Corée du Nord ou la Russie, soupçonnée être derrière l’attaque de SolarWinds.

L’entreprise a déjà relevé des failles chez plus de 40 entreprises, dont 80 % rien qu’aux États-Unis, précise le communiqué. Elle a par ailleurs confirmé avoir détecté des failles sur certains de ses propres serveurs. « Comme d'autres clients de SolarWinds, nous pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants dans notre environnement, que nous avons isolés et supprimés. Nous n'avons pas trouvé de preuve d'accès aux services de production ou aux données clients. Nos enquêtes, qui sont en cours, n'ont trouvé absolument aucune indication que nos systèmes ont été utilisés pour attaquer d'autres personnes.»

Outre les départements du Commerce et du Trésor, le département de l’énergie ainsi que l’agence nationale de sécurité nucléaire américains, deux organes gérant le stock d’armes nucléaires américaines, ont reconnu que des hackers ont pénétré leurs réseaux, a révélé le journal Politico, une brèche supplémentaire attestant de l’ampleur de l’attaque.

Microsoft vient de communiquer sur le groupe lié à la Russie derrière l’attaque SolarWinds. Celui-ci est toujours actif et continue ses attaques sur la supply chain, mais vise une nouvelle cible : les revendeurs et autres intégrateurs.

Microsoft vient de communiquer sur le groupe lié à la Russie derrière l’attaque SolarWinds. Celui-ci est toujours actif et continue ses attaques sur la supply chain, mais vise une nouvelle cible : les revendeurs et autres intégrateurs.