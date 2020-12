L’agence américaine pour la cybersécurité et la sécurité des infrastructures a publié jeudi une alerte détaillant ce qu’elle sait de la violation, qui a été qualifiée de plus importante de l’histoire des États-Unis.

CISA affirme que les pirates ont pu compromettre la chaîne d’approvisionnement des logiciels de gestion de réseau de SolarWinds, en particulier les versions récentes des produits SolarWinds Orion.

À partir de mars 2020, les pirates ont utilisé les mises à jour logicielles de SolarWinds pour installer une porte dérobée de réseau secret, que les autorités appellent SUNBURST.

Le code malveillant a été signé par le certificat de signature de code SolarWinds légitime. Environ 18 000 clients ont téléchargé les mises à jour compromises.

Une fois installé sur un réseau, le logiciel malveillant utilisait un protocole conçu pour imiter le trafic SolarWinds légitime pour communiquer avec un domaine qui a depuis été saisi et arrêté.

Le domaine de contact initial dirigeait souvent le logiciel malveillant vers une nouvelle adresse IP (Internet Protocol) pour la commande et le contrôle. Les attaquants ont utilisé des adresses IP rotatives et des serveurs privés virtuels avec des adresses IP dans le pays d’origine de la cible pour rendre la détection du trafic plus difficile.

« Prises ensemble, ces techniques observées indiquent un adversaire qui est compétent, furtif avec la sécurité opérationnelle, et est prêt à dépenser des ressources importantes pour maintenir une présence secrète », a déclaré CISA dans l’alerte.

CISA a déclaré qu’une fois à l’intérieur d’un réseau, les pirates semblaient concentrés sur la collecte d’informations et ciblaient fréquemment les e-mails du personnel informatique et de sécurité pour surveiller les contre-mesures.

Sans fournir plus de détails, l’agence a averti que les pirates utilisaient « d’autres vecteurs d’accès initiaux au-delà de SolarWinds Orion », ce qui signifie que même les groupes qui n’utilisent pas le logiciel réseau pourraient être compromis.