Il y a un an, des pirates informatiques russes ont mené une «  tentative à sec  » de sa cyberattaque massive

Le piratage présumé d’agences gouvernementales américaines par la Russie est peut-être en cours depuis plus longtemps que prévu, car il a été révélé que les pirates informatiques avaient mené une «  course à vide  » de leur cyberattaque massive il y a plus d’un an.

Des responsables américains ont déclaré vendredi que des pirates informatiques semblaient avoir ciblé SolarWinds Corp en octobre 2019, cinq mois avant d’exécuter une brèche plus destructrice et malveillante en mars.

On pense que les pirates informatiques ont testé leur capacité à insérer un code malveillant dans le logiciel de gestion de réseau de l’entreprise le 10 octobre, qui a ensuite été livré à quelque 18 000 clients de l’entreprise.

Le piratage a commencé dès mars de cette année lorsque des pirates ont introduit du code malveillant dans les versions récentes du premier logiciel de SolarWinds, Orion.  L'entreprise de logiciels basée à Austin fournit des services vitaux de surveillance de réseau informatique aux grandes entreprises et agences gouvernementales du monde entier

Le piratage a commencé dès mars de cette année lorsque des pirates ont introduit du code malveillant dans les versions récentes du premier logiciel de SolarWinds, Orion. L’entreprise de logiciels basée à Austin fournit des services vitaux de surveillance de réseau informatique aux grandes entreprises et agences gouvernementales du monde entier

La liste des victimes du piratage dévastateur et longtemps non détecté des agences gouvernementales et des entreprises américaines continue de s'allonger depuis que la vaste campagne de cyber-espionnage a été révélée plus tôt cette semaine.  Cette carte thermique des infections créée par Microsoft montre que celles infiltrées par les pirates sont réparties à travers les États-Unis.

La liste des victimes du piratage dévastateur et longtemps non détecté des agences gouvernementales et des entreprises américaines continue de s’allonger depuis que la vaste campagne de cyber-espionnage a été révélée plus tôt cette semaine. Cette carte thermique des infections créée par Microsoft montre que celles infiltrées par les pirates sont réparties à travers les États-Unis.

Les responsables ont découvert qu’une version du produit SolarWinds Orion avait été trouvée falsifiée à cette époque, mais il ne contenait pas la porte dérobée secrète du réseau – que les autorités appellent SUNBURST – à l’époque, selon l’Agence américaine pour la cybersécurité et la sécurité des infrastructures.

AGENCES GOUVT CONNUES POUR AVOIR ÉTÉ CIBLÉES PAR DES Pirates

  • Pentagone
  • Trésorerie
  • FBI
  • département d’État
  • département de la Sécurité intérieure
  • département du Commerce
  • Instituts nationaux de la santé
  • Ministère de l’Énergie
  • Administration nationale de la sécurité nucléaire
  • Laboratoire national de Los Alamos
  • Commission fédérale de réglementation de l’énergie
  • Bureau des transports sécurisés

Les fichiers falsifiés n’ont pas été détectés et en mars 2020, les pirates ont commencé à utiliser les mises à jour d’Orion pour livrer leur porte dérobée.

«  Nous pensons qu’ils voulaient tester si cela allait fonctionner ou non et s’il serait détecté. C’était donc plus ou moins une course à vide », a déclaré une source proche de l’enquête à Yahoo News.

«Ils ont pris leur temps. Ils ont décidé de ne pas sortir tout de suite avec une véritable porte dérobée. Cela signifie qu’ils sont un peu plus disciplinés et délibérés  », a ajouté la personne.

Les preuves indiquent également une suggestion plus préoccupante selon laquelle les pirates informatiques auraient pu avoir accès aux logiciels de la société avant octobre.

«Cela nous indique que l’acteur a eu accès à l’environnement de SolarWinds bien plus tôt que cette année. Nous savons au minimum qu’ils ont eu accès le 10 octobre 2019. Mais ils auraient certainement dû y avoir accès plus longtemps que cela », a déclaré la source à Yahoo.

‘Alors cette intrusion [into SolarWinds] doit provenir probablement au moins quelques mois avant cela – probablement au moins mi-2019 [if not earlier]».

SolarWinds, qui a révélé lundi son rôle involontaire au centre du piratage mondial, a déclaré que jusqu’à 18000 utilisateurs de son logiciel Orion ont téléchargé une mise à jour compromise contenant du code malveillant planté par les attaquants.

L’attaque était censée être l’œuvre d’un «  État-nation extérieur  », a déclaré SolarWinds dans une divulgation réglementaire.

Le secrétaire d'État Mike Pompeo est devenu le premier responsable américain à attribuer publiquement une campagne massive de piratage à la Russie.  Il est vu ci-dessus avec Poutine en 2019

Le secrétaire d’État Mike Pompeo est devenu le premier responsable américain à attribuer publiquement une campagne massive de piratage à la Russie. Il est vu ci-dessus avec Poutine en 2019

En plus des grandes agences fédérales et des infrastructures essentielles, les pirates ont ciblé des entités aussi diverses qu’un gouvernement de comté en Arizona et une société de télévision par câble.

Chronologie de SolarWinds: actions de l’entreprise et quand ils ont découvert une attaque

Mars: Les versions mises à jour du produit phare de SolarWinds, Orion, sont infiltrées par un «  État-nation extérieur  »

Les clients de SolarWinds qui ont installé des mises à jour de leur logiciel Orion ont accueilli sans le savoir un code malveillant caché qui pourrait donner aux intrus la même vue de leur réseau d’entreprise que les équipes informatiques internes.

  • 18 et 19 novembre: Le PDG sortant, Kevin Thompson, vend 15 millions de dollars en actions
  • 7 décembre: Les principaux investisseurs Silver Lake et Thoma Bravo vendent 280 millions de dollars d’actions de SolarWinds
  • 7 décembre: Le PDG Kevin Thompson démissionne. Sa transition avait déjà été annoncée mais pas de date fixe donnée
  • 8 décembre: FireEye annonce que des pirates ont fait irruption dans ses serveurs
  • 9 décembre: Le nouveau PDG Sudhakar Ramakrishna a annoncé qu’il succéderait à Thompson en 2021
  • 11 décembre: FireEye affirme avoir appris que les mises à jour de SolarWinds avaient été corrompues et a contacté la société.
  • 13 décembre: L’infiltration d’Orion devient publique

Les États-Unis émettent un avertissement d’urgence, ordonnant aux utilisateurs du gouvernement de déconnecter le logiciel SolarWinds qui, selon eux, avait été compromis par des «  acteurs malveillants  »

Le Pentagone, le Département d’État et les National Institutes of Health, ainsi que les départements du Trésor, du Commerce et de la Sécurité intérieure révèlent qu’ils ont été ciblés

Le comté de Pima, le gouvernement de l’Arizona et Cox Communications Inc ont été identifiés comme victimes de l’intrusion de Reuters après avoir exécuté un script de codage accessible au public.

Des sources proches de l’enquête américaine ont déclaré que le piratage avait probablement été effectué par le service de renseignement étranger russe. Moscou a nié toute implication.

Le secrétaire d’État Mike Pompeo est devenu vendredi le premier responsable américain à attribuer publiquement la campagne massive de piratage à la Russie.

«  Il y a eu un effort important pour utiliser un logiciel tiers pour essentiellement intégrer du code dans les systèmes gouvernementaux américains  », a déclaré Pompeo au Mark Levin Show vendredi.

«C’était un effort très important, et je pense que c’est le cas que maintenant nous pouvons dire assez clairement que ce sont les Russes qui se sont engagés dans cette activité.

Le porte-parole du président russe Vladimir Poutine a par la suite démenti l’implication du Kremlin, et l’ambassade de Russie a déclaré dans un communiqué que le pays «ne mène pas d’opérations offensives dans le domaine cybernétique».

L’attaque tentaculaire, qui n’a pas été détectée pendant près de neuf mois, a compromis les départements de la sécurité intérieure, de la justice, du Trésor, de l’État et de l’énergie, ainsi qu’une liste croissante d’entreprises et de gouvernements locaux à travers le pays.

Les responsables de l’agence nationale de cybersécurité préviennent que la violation pourrait être difficile à annuler, affirmant que les pirates «  faisaient preuve de sophistication et de savoir-faire complexe  » et qu’il était probable qu’ils aient construit des portes dérobées secrètes supplémentaires alors qu’ils étaient actifs à l’intérieur des réseaux compromis.

Les experts affirment qu’il n’y a tout simplement pas suffisamment d’équipes de chasse aux menaces qualifiées pour identifier correctement tous les systèmes gouvernementaux et du secteur privé qui ont pu être piratés, et avertissent que les réseaux infectés peuvent devoir être «  entièrement brûlés  » et reconstruits à partir de zéro.