Les agences de renseignement américaines et les enquêteurs privés sur la cybersécurité examinent le rôle d’une société de logiciels largement utilisée, JetBrains, dans le piratage russe de grande envergure des agences fédérales, des entreprises privées et des infrastructures américaines, selon des responsables et des dirigeants informés de l’enquête.
Les responsables enquêtent pour savoir si l’entreprise, fondée par trois ingénieurs russes en République tchèque avec des laboratoires de recherche en Russie, a été violée et utilisée comme un moyen pour les pirates d’insérer des portes dérobées dans le logiciel d’un nombre incalculable d’entreprises technologiques. Les experts en sécurité préviennent que cette intrusion de plusieurs mois pourrait être la plus grande violation des réseaux américains de l’histoire.
JetBrains, qui compte 79 des entreprises Fortune 100 comme clients, est utilisé par les développeurs de 300 000 entreprises. L’un d’eux est SolarWinds, la société basée à Austin, au Texas, dont le logiciel de gestion de réseau a joué un rôle central en permettant aux pirates d’accéder aux réseaux gouvernementaux et privés.
JetBrains a déclaré mercredi qu’elle n’était pas au courant d’une enquête et qu’elle n’avait connaissance d’aucun compromis. Le logiciel exact que les enquêteurs examinent est un produit JetBrains appelé TeamCity, qui permet aux développeurs de tester et d’échanger du code logiciel avant sa sortie.
En compromettant TeamCity ou en exploitant les lacunes dans la façon dont les clients utilisent l’outil, les experts en cybersécurité affirment que les pirates informatiques russes auraient pu planter discrètement des portes dérobées chez un nombre incalculable de clients de JetBrains. Parce que TeamCity est si largement déployé, ont déclaré les experts, il est impératif de déterminer si son logiciel contient une vulnérabilité ou si des attaquants ont exploité les clients de TeamCity via des mots de passe volés ou des lacunes dans des logiciels obsolètes et non corrigés.
Par ailleurs, le ministère de la Justice a déclaré que son système de messagerie avait été compromis dans le cadre du piratage de SolarWinds, une annonce qui élargit la portée des ordinateurs gouvernementaux que la Russie a pu infiltrer.
Les responsables gouvernementaux ne sont pas certains de la relation entre le compromis du logiciel JetBrains et le piratage plus important de SolarWinds. Ils cherchent à savoir s’il s’agissait d’un moyen parallèle pour la principale agence de renseignement de Russie d’entrer dans les systèmes gouvernementaux et privés, ou si c’était la première avenue pour les agents russes d’infiltrer SolarWinds.
Mardi, le bureau du directeur du renseignement national, le FBI, le département de la Sécurité intérieure et l’Agence de sécurité nationale ont publié une déclaration conjointe déclarant formellement que la Russie était très probablement à l’origine du piratage. Mais la déclaration n’offrait aucun détail et ne faisait aucune mention du logiciel JetBrains ou du SVR, l’agence de renseignement la plus qualifiée de Russie.
JetBrains est considéré comme un outil prédominant pour le développement de logiciels. Google, Hewlett-Packard et Citibank font partie de ses clients, et la société est largement utilisée par les développeurs de logiciels mobiles Android. Il compte également Siemens, un important fournisseur de technologie dans les infrastructures critiques telles que les centrales électriques et nucléaires, comme client, ainsi que VMware, une société de technologie qui a été mise en garde le 7 décembre par l’Agence nationale de sécurité pour pénétrer dans les réseaux.
Dans un communiqué sur son blog, JetBrains a déclaré ne pas avoir été contacté par le gouvernement ou les agences de sécurité.
«Nous n’avons été contactés par aucun gouvernement ou agence de sécurité à ce sujet, et nous ne sommes pas au courant d’avoir fait l’objet d’une enquête», Maxim Shafirov, directeur général de la société, a déclaré dans un post mercredi. «Si une telle enquête est entreprise, les autorités peuvent compter sur notre entière coopération.»
SolarWinds a confirmé mercredi avoir utilisé le logiciel TeamCity pour aider au développement de son logiciel et enquêtait sur le logiciel dans le cadre de son enquête. La société a déclaré qu’elle n’avait pas encore confirmé un lien définitif entre JetBrains et la violation et la compromission de son propre logiciel.
SolarWinds a déclaré que 18000 clients avaient téléchargé son logiciel compromis, mais les enquêteurs estiment que la Russie a fait preuve de sagesse dans lequel de ces réseaux elle a eu accès, ce qui rend difficile l’évaluation rapide des dommages.
Dans l’annonce conjointe, les responsables ont déclaré qu’ils pensaient que les pirates russes se sont arrêtés dans 10 agences fédérales, mais une évaluation interne d’Amazon, qui a examiné les outils des pirates, estime que le nombre total de victimes au sein du gouvernement et du secteur privé pourrait être supérieur à 250. organisations.
Microsoft a également annoncé le 31 décembre que son réseau avait été violé par les mêmes intrus et a confirmé qu’ils avaient consulté le code source de l’entreprise. Il n’a pas précisé quels produits auraient pu être compromis. CrowdStrike, une société de sécurité, a confirmé le mois dernier qu’elle avait été ciblée, sans succès, par le biais d’une société qui vend des logiciels pour le compte de Microsoft. Ces revendeurs aident à configurer les logiciels Microsoft et ont souvent un large accès aux systèmes des clients, que les pirates informatiques russes pourraient exploiter sur un nombre incalculable de clients Microsoft.
Le ministère de la Justice n’a eu connaissance de la vulnérabilité de son système de messagerie Microsoft Outlook que le 24 décembre, et a fermé ses portes, jusqu’à ce que le 24 décembre, environ 10 jours après que la compromission SolarWinds des ordinateurs gouvernementaux soit devenue publique, ont déclaré des responsables.
Marc Raimondi, un porte-parole du ministère de la Justice, a déclaré qu’environ 3% des comptes de messagerie du ministère qui utilisent le logiciel Microsoft spécifique ont été compromis par la violation. Il a dit qu’aucun système classifié ne semble avoir été affecté, mais que l’épisode avait été désigné comme majeur.
Faisant référence à la méthode par laquelle les pirates sont entrés dans les systèmes des victimes, Dmitri Alperovitch, un fondateur de CrowdStrike qui dirige maintenant Silverado Policy Accelerator, a déclaré que compromettre et introduire une porte dérobée dans un produit comme TeamCity était «le Saint Graal d’un piratage de la chaîne d’approvisionnement. . »
«Cela peut permettre à un adversaire d’avoir des milliers de portes dérobées de type SolarWinds dans toutes sortes de produits utilisés par les victimes du monde entier», a ajouté M. Alperovitch. « C’est une très grosse affaire. »
Discussion about this post