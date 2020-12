«Cela pourrait devenir l’une des campagnes d’espionnage les plus percutantes de tous les temps», a déclaré l’expert en cybersécurité Dmitri Alperovitch.

La société de cybersécurité piratée FireEye a refusé de dire qui le soupçonnait – de nombreux experts pensent que l’opération est russe compte tenu de sa manipulation prudente – et a noté que les gouvernements étrangers et les grandes entreprises étaient également en danger.

La nouvelle des hacks, rapportée pour la première fois par Reuters, est survenue moins d’une semaine après que FireEye a révélé que des pirates d’un État-nation avaient pénétré son réseau et volé les propres outils de piratage de l’entreprise.

Le conduit apparent pour les hacks du Département du Trésor et du Commerce – et le compromis FireEye – est un logiciel serveur extrêmement populaire appelé SolarWinds. Il est utilisé par des centaines de milliers d’organisations à travers le monde, y compris la plupart des entreprises Fortune 500 et de nombreuses agences fédérales américaines qui font désormais de leur mieux pour restaurer leurs réseaux, a déclaré Alperovitch, l’ancien directeur technique de la société de cybersécurité CrowdStrike.

La directive DHS – seulement la cinquième depuis leur rédaction en 2015 – a déclaré que les agences américaines doivent immédiatement arrêter ou arrêter toutes les machines exécutant le logiciel SolarWinds concerné.

FireEye, sans nommer de cibles spécifiques, a déclaré dans un article de blog que son enquête sur le piratage de son propre réseau avait révélé qu’il y avait « une campagne mondiale » contre les gouvernements et le secteur privé qui contenaient des logiciels malveillants dans un logiciel SolarWinds depuis le printemps. laissez-le glisser. Mise à jour. Ni l’entreprise ni le gouvernement américain n’ont publiquement identifié les pirates informatiques soutenus par l’État russe comme responsables.

Le malware a donné aux pirates un accès à distance aux réseaux des victimes, et Alperovitch a déclaré que SolarWinds autorise l’accès en «mode Dieu» à un réseau, rendant tout visible.

«Nous prévoyons que ce sera un événement très important lorsque toutes les informations seront révélées», a déclaré John Hultquist, directeur de l’analyse des menaces chez FireEye. « L’acteur opère secrètement, mais nous trouvons certainement encore des objectifs dans lesquels il réussit à fonctionner. »

Sur son site Web, SolarWinds affirme avoir 300 000 clients dans le monde, dont les cinq branches de l’armée américaine, le Pentagone, le Département d’État, la NASA, l’Agence de sécurité nationale, le ministère de la Justice et la Maison Blanche. Il indique que les 10 principales sociétés de télécommunications américaines et les cinq principaux cabinets comptables américains font également partie des clients.

FireEye a déclaré avoir confirmé des infections en Amérique du Nord, en Europe, en Asie et au Moyen-Orient, y compris dans les secteurs des soins de santé et du pétrole et du gaz, et a informé ces derniers jours les clients concernés dans le monde entier. Les clients comprennent les gouvernements fédéral, étatiques et locaux et des entreprises internationales de premier plan.

Il a déclaré que les logiciels malveillants à l’origine de la mise à jour de SolarWinds n’avaient pas semé de logiciels malveillants auto-propagés – comme le malware NotPetya que la Russie a accusé de causer plus de 10 milliards de dollars de dommages dans le monde – et que toute infiltration réelle d’une organisation infectée l’exigence d’interaction. . «

Cela signifie que c’est un bon pari que seules certaines des organisations infectées ont été espionnées par les pirates. Les États nationaux ont leurs priorités en matière de cyberespionnage, qui incluent le développement de vaccins COVID-19.

Dimanche, l’ambassade de Russie américaine dans un message sur sa page Facebook a décrit comme « sans fondement » les « tentatives des médias américains de blâmer la Russie pour les attaques de pirates informatiques contre les agences gouvernementales américaines ».

Le département du Trésor a renvoyé les demandes de commentaires au Conseil national de sécurité, dont le porte-parole, John Ullyot, a déclaré que le gouvernement « prenait toutes les mesures nécessaires pour identifier et résoudre les problèmes potentiels liés à cette situation ».

L’Agence gouvernementale pour la cybersécurité et la sécurité des infrastructures a déclaré qu’elle travaillait avec d’autres agences pour aider à «identifier et atténuer les compromis potentiels». Le FBI a déclaré qu’il travaillait sur une réponse, mais a refusé de commenter davantage.

Le président Donald Trump a limogé le directeur de la CISA, Chris Krebs, le mois dernier, après que Krebs se soit porté garant de l’intégrité de l’élection présidentielle et ait contesté les allégations de Trump sur la fraude électorale généralisée.

Dans un tweet dimanche, Krebs a déclaré que « ces types de piratage nécessitent un savoir-faire et un temps exceptionnels », ajoutant qu’il pensait que leur impact commençait seulement à se comprendre.

Les agences fédérales sont depuis longtemps une cible attrayante pour les pirates informatiques étrangers qui cherchent à mieux comprendre le personnel du gouvernement américain et l’élaboration des politiques.

Par exemple, des pirates ayant des liens avec la Russie ont pu pénétrer dans le système de messagerie du département d’État en 2014 et l’infecter si profondément qu’il a dû être coupé d’Internet pendant que les experts s’efforçaient d’éliminer la contamination. Un an plus tard, un piratage du bureau du personnel du gouvernement américain, imputé à la Chine, a compromis les informations personnelles d’environ 22 millions d’employés fédéraux actuels, anciens et potentiels, y compris des données très sensibles telles que la vérification des antécédents.

Les cambriolages annoncés dimanche comprenaient le bureau du ministère du Commerce responsable de la politique Internet et des télécommunications. Un porte-parole a confirmé une « brèche dans l’un de nos bureaux » et a déclaré: « Nous avons demandé à la CISA et au FBI d’enquêter ».

SolarWinds d’Austin, au Texas, a confirmé dimanche une « vulnérabilité potentielle » liée aux mises à jour publiées entre mars et juin pour des produits logiciels appelés Orion qui aident à surveiller les réseaux pour les problèmes.

«Nous pensons que cette vulnérabilité est le résultat d’une attaque de la chaîne d’approvisionnement très sophistiquée, ciblée et manuelle par un État-nation», a déclaré Kevin Thompson, PDG de SolarWinds dans un communiqué. Il a dit qu’il travaillait avec le FBI, FireEye et les agences de renseignement.

FireEye a annoncé mardi qu’il avait été piraté, affirmant que des pirates d’états étrangers dotés de « capacités de classe mondiale » faisaient irruption dans leur réseau et volaient des outils qu’il utilise pour enquêter sur les défenses de ses milliers de clients. Les hackers « recherchaient principalement des informations relatives à certains clients gouvernementaux », a déclaré Kevin Mandia, PDG de FireEye, dans un communiqué, sans les nommer.

L’ancien hacker de la NSA Jake Williams, président de la société de cybersécurité Rendition Infosec, a déclaré que FireEye avait certainement dit au FBI et à d’autres partenaires fédéraux comment il avait été piraté et qu’ils avaient déterminé que le Trésor avait été également compromis.

« Je soupçonne qu’il y a un certain nombre d’autres agences (fédérales) que nous entendrons cette semaine qui ont également été touchées », a ajouté Williams.

FireEye a répondu aux violations de données de Sony et d’Equifax et a aidé l’Arabie saoudite à contrecarrer une cyberattaque dans l’industrie pétrolière – et a contribué à identifier la Russie comme le protagoniste d’innombrables agressions dans le monde souterrain en plein essor du conflit numérique mondial.

Mandia a déclaré que rien n’indiquait qu’ils obtenaient des informations sur les clients de la part des sociétés de conseil ou de lutte contre la contrefaçon de la société, ni des données sur les informations sur les menaces collectées.

Bayak a rapporté de Boston et O’Brien de Providence, Rhode Island.