Les autorités fédérales affirment que les services du Trésor et du Commerce ont été violés par des pirates informatiques en exploitant une porte dérobée implantée dans une application de surveillance de réseau populaire. Les États-Unis désignent Moscou comme le coupable probable des effractions. Mais ils ne pointent pas du doigt les pirates militaires bruyants, agressifs et heureux des trolls que nous avons connus au cours des années qui ont suivi leur ingérence dans les élections de 2016.

Au lieu de cela, des responsables américains ont déclaré aux journalistes qu’un équipage plus furtif et plus sophistiqué – l’équipe A du piratage du Kremlin – est à blâmer, signalant potentiellement un retour au type d’effractions de haut niveau pour lesquelles le groupe est devenu célèbre en 2015.

Ces responsables affirment que les pirates informatiques du service russe de renseignement extérieur, appelés «Cozy Bear» ou APT 29, sont désormais les principaux suspects pour une violation du logiciel SolarWinds Orion, qui fait que les gouvernements et les entreprises du monde entier parcourent leurs réseaux à la recherche de signes d’intrusion. .

«Cela ressemble à une opération très bien exécutée et minutieuse, mais pour le moment, il est trop tôt pour dire quelle est l’ampleur du compromis», Matt Tait, ancien spécialiste de la sécurité de l’information pour l’agence britannique de renseignement électromagnétique, GCHQ. «Avec un peu de chance, lorsque les fournisseurs d’antivirus, et Microsoft en particulier, commenceront à rechercher des signes d’intrusion à grande échelle, nous aurons une bien meilleure idée de la gravité et de l’ampleur de l’opération.»

Les pirates du service de renseignement extérieur russe, ou SVR, sont connus pour leurs opérations moins visibles qui se concentrent sur la collecte de renseignements clandestins, contrairement aux pirates militaires qui ont passé ces dernières années à casser des choses et à faire la une des journaux.

Alors que les pirates russes du GRU ont fermé les systèmes électriques en Ukraine, brisé les réseaux ukrainiens avec l’attaque du ransomware NotPetya et traqué Hillary Clinton avec des e-mails volés au Comité national démocrate et à sa présidente de campagne, les opérateurs de l’APT 29 étaient si difficiles à remarquer que certains ont même émis l’hypothèse qu’ils auraient pu accélérer les opérations après que le public ait appris que les services de renseignement néerlandais avaient réussi à infiltrer leur réseau en 2015.

Cozy Bear, cependant, avait toujours été actif, se rassemblant contre des installations diplomatiques étrangères avec des métiers plus furtifs et sophistiqués.

Des pirates informatiques du SVR ont violé le Comité national démocrate aux côtés du GRU lors de l’élection de 2016, mais dans un dépôt de 2019 dans son procès contre le gouvernement russe, le DNC a affirmé que les pirates du SVR avaient tenté une répétition au cours de la mi-mandat 2018. Peu de temps avant les élections, des responsables démocrates ont écrit dans une plainte amendée, «cohérente avec une campagne de harponnage que les principaux experts en cybersécurité ont liée à Cozy Bear».

Plus récemment, les États-Unis, le Royaume-Uni et le Canada ont publié un avertissement conjoint selon lequel les opérateurs de Cozy Bear avaient ciblé les principales sociétés pharmaceutiques des trois pays «dans l’intention de voler des informations et des propriétés intellectuelles relatives au développement et aux tests de vaccins COVID-19. «

Les experts qui ont eu la chance d’analyser la violation du logiciel SolarWinds ont écrit que l’opération montre un degré impressionnant de furtivité et de ruse.

On ne sait pas encore comment ils ont réussi à le faire, mais les pirates ont intégré un fichier de mise à jour malveillant dans le programme de surveillance du réseau Orion de SolarWinds. Lorsque le fichier de mise à jour est installé sur les réseaux des clients, le fichier malveillant reste silencieux pendant deux semaines. Après sa période d’inactivité, le logiciel malveillant s’adresse à un serveur de commande et de contrôle pour recevoir des instructions sur la marche à suivre, selon une évaluation technique rédigée par la société de cybersécurité FireEye – qui a été touchée par la même porte dérobée et a perdu des données propriétaires dans le violation.

Lorsqu’il est activé, le logiciel malveillant affiche une «sécurité opérationnelle significative» et se fond dans l’activité normale du réseau, ce qui rend plus difficile la détection du logiciel de sécurité lorsqu’il espionne son réseau hôte, selon FireEye.

Ce type de brèche, connu sous le nom d’attaque de la chaîne d’approvisionnement, est particulièrement difficile à traiter pour les responsables de la cybersécurité, car il mine la confiance implicite des clients dans le fait que les produits et les mises à jour de fournisseurs connus sont sûrs à utiliser.

Le logiciel est largement utilisé dans le gouvernement et le secteur privé et les responsables de l’entreprise affirment que jusqu’à 18 000 des 300 000 clients de SolarWinds pourraient avoir téléchargé des versions corrompues du logiciel, selon un dépôt auprès de la SEC.

SolarWinds a déclaré à l’agence de régulation que, bien que son logiciel ait été compromis au moins dès mars 2020, il estime que l’attaque était «destinée à être une attaque étroite, extrêmement ciblée et exécutée manuellement» contre un groupe de cibles plus sélectif.

FireEye a écrit qu’il avait observé des logiciels malveillants s’exécutant sur des ordinateurs en «Amérique du Nord, en Europe, en Asie et au Moyen-Orient».

FireEye a été la première victime connue de la vulnérabilité SolarWinds et dans un communiqué publié la semaine dernière, le PDG Kevin Madnia a déclaré que les responsables de la société avaient observé que des pirates informatiques avaient exploité leur accès pour voler les outils logiciels utilisés par FireEye pour simuler des pirates étrangers et tester la sécurité du réseau des clients.

Les opérations effrontées du GRU ont absorbé une grande partie de l’attention de l’Occident au cours des dernières années. L’implication de pirates SVR dans une effraction aussi sophistiquée contre les agences fédérales et l’une des sociétés de cybersécurité les plus compétentes au monde, si elle est avérée, est un rappel malvenu que la portée des cybermenaces en provenance de Russie reste plus large et plus difficile à trouver.

