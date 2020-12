LONDRES: Des pirates informatiques russes présumés ont accédé aux systèmes d’un fournisseur Internet américain et d’un gouvernement de comté d’Arizona dans le cadre d’une vaste campagne de cyberespionnage révélée cette semaine, selon une analyse de documents Web accessibles au public.

Le piratage, qui a détourné le logiciel de gestion de réseau omniprésent créé par SolarWinds Corp pour compromettre une série d’agences gouvernementales américaines et a été signalé pour la première fois par Reuters, est l’un des plus importants jamais découverts et a envoyé des équipes de sécurité à travers le monde se démener pour contenir les dégâts.

Les intrusions dans les réseaux de Cox Communications et du gouvernement local du comté de Pima, en Arizona, montrent qu’aux côtés des victimes, notamment les départements américains de la Défense, de l’État et de la Sécurité intérieure, les pirates ont également espionné des organisations moins prestigieuses.

Un porte-parole de Cox Communications a déclaré que la société travaillait «24 heures sur 24» avec l’aide d’experts en sécurité extérieurs pour enquêter sur les conséquences du compromis SolarWinds. «La sécurité des services que nous fournissons est une priorité absolue», a-t-il déclaré.

Dans des commentaires envoyés par e-mail à Reuters, le directeur de l’information du comté de Pima, Dan Hunt, a déclaré que son équipe avait suivi les conseils du gouvernement américain pour mettre immédiatement le logiciel SolarWinds hors ligne après la découverte du piratage. Il a déclaré que les enquêteurs n’avaient trouvé aucune preuve d’une nouvelle violation.

Reuters a identifié les victimes en exécutant un script de codage publié vendredi https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/99862 par des chercheurs de la société de cybersécurité Kaspersky basée à Moscou pour décrypter le Web en ligne documents laissés par les attaquants.

Le type d’enregistrement Web, connu sous le nom de CNAME, comprend un identifiant unique codé pour chaque victime et montre laquelle des milliers de «portes dérobées» à leur disposition les pirates ont choisi d’ouvrir, a déclaré le chercheur de Kaspersky Igor Kuznetsov.

«La plupart du temps, ces portes dérobées ne font que dormir», dit-il. «Mais c’est à ce moment-là que le vrai hack commence.»

Les enregistrements CNAME relatifs à Cox Communications et au comté de Pima ont été inclus dans une liste d’informations techniques publiée https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain -compromises-with-sunburst-backdoor.html par la société américaine de cybersécurité FireEye Inc, qui a été la première victime à découvrir et à révéler qu’elle avait été piratée.

John Bambenek, chercheur en sécurité et président de Bambenek Consulting, a déclaré qu’il avait également utilisé l’outil Kaspersky pour décoder les enregistrements CNAME publiés par FireEye et avait découvert qu’ils étaient connectés à Cox Communications et au comté de Pima.

Les archives montrent que les portes dérobées de Cox Communications et du comté de Pima ont été activées en juin et juillet de cette année, le pic de l’activité de piratage jusqu’à présent identifié par les enquêteurs.

Il n’est pas clair quelles informations, le cas échéant, ont été compromises.

SolarWinds, qui a révélé lundi son rôle involontaire au centre du piratage mondial, a déclaré que jusqu’à 18000 utilisateurs de son logiciel Orion ont téléchargé une mise à jour compromise contenant du code malveillant planté par les attaquants.

Alors que les retombées continuaient de secouer Washington jeudi, avec une violation confirmée par le département américain de l’énergie, les responsables américains ont averti que les pirates avaient utilisé d’autres méthodes d’attaque et ont exhorté les organisations à ne pas supposer qu’elles étaient protégées si elles n’utilisaient pas les versions récentes du Logiciel SolarWinds.

Microsoft, qui était l’une des milliers d’entreprises à recevoir la mise à jour malveillante, a déclaré qu’elle avait actuellement notifié plus de 40 clients dont les réseaux étaient encore infiltrés par les pirates.

Une trentaine de ces clients se trouvaient aux États-Unis, a-t-il déclaré, les autres victimes se trouvant au Canada, au Mexique, en Belgique, en Espagne, en Grande-Bretagne, en Israël et aux Émirats arabes unis. La plupart travaillaient dans des entreprises de technologie de l’information, ainsi que dans certains groupes de réflexion et organisations gouvernementales.

«Il est certain que le nombre et l’emplacement des victimes continueront d’augmenter», a déclaré le président de Microsoft, Brad Smith, dans un article de blog https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity- solarwinds-fireeye.

«L’installation de ce logiciel malveillant a permis aux attaquants de suivre et de choisir parmi ces clients les organisations qu’ils voulaient attaquer davantage, ce qui semble avoir été fait de manière plus étroite et plus ciblée.»