La Securities and Exchange Commission (SEC) des États-Unis a accusé aujourd’hui SolarWinds d’avoir fraudé des investisseurs en dissimulant prétendument des problèmes de cybersécurité avant décembre 2020 liés à APT29, la division de piratage du Service russe de renseignement extérieur (SVR).

Ce groupe menaçant a orchestré l’attaque de la chaîne d’approvisionnement de SolarWinds, qui a conduit à la violation de plusieurs agences fédérales américaines il y a trois ans.

La SEC affirme que SolarWinds n’a pas informé les investisseurs des risques de cybersécurité et des mauvaises pratiques dont son responsable de la sécurité de l’information, Timothy G. Brown (également confronté à des poursuites judiciaires de la part des autorités de régulation), était au courant. Au lieu de cela, la société n’aurait divulgué à ses investisseurs que des risques généraux et théoriques.

« Nous affirmons que, pendant des années, SolarWinds et Brown ont ignoré les signaux d’alarme répétés concernant les cyber-risques de SolarWinds, qui étaient bien connus dans toute l’entreprise et ont conduit l’un des subordonnés de Brown à conclure : « Nous sommes si loin d’être une entreprise soucieuse de la sécurité, ‘ » dit Gurbir S. Grewal, chef de la division de l’application de la SEC.

« Plutôt que de remédier à ces vulnérabilités, SolarWinds et Brown se sont engagés dans une campagne visant à brosser un tableau erroné de l’environnement de cybercontrôle de l’entreprise, privant ainsi les investisseurs d’informations importantes précises. »

Le régulateur affirme que Brown était déjà conscient que les attaquants qui pirateraient les systèmes de SolarWinds à distance seraient très difficiles à détecter depuis au moins 2018, selon des présentations affirmant que « l’état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques ».  » et cela « [a]L’accès et les privilèges aux systèmes/données critiques sont inappropriés.

Brown a également exprimé ses inquiétudes en juin 2020 quant au fait que des attaquants pourraient utiliser le logiciel Orion de SolarWinds (qui a été utilisé par des pirates russes pour pirater les systèmes des clients des mois plus tard) comme outil lors d’attaques futures, car les systèmes backend de l’entreprise n’étaient pas « résilients ».

Deux mois avant l’attaque, la SEC affirme qu’un document interne de SolarWinds révélait que les équipes d’ingénierie n’étaient plus en mesure de suivre une longue liste de nouveaux problèmes de sécurité auxquels elles devaient répondre.

« Il est alarmant que la Securities and Exchange Commission (SEC) ait déposé ce que nous considérons comme une mesure malavisée et inappropriée à notre encontre, représentant un ensemble de points de vue et d’actions régressifs incompatibles avec les progrès que l’industrie doit réaliser et que le gouvernement encourage. , » dit Le président et chef de la direction Sudhakar Ramakrishna en réponse aux accusations de la SEC.

« Nous avons fait le choix délibéré de parler – franchement et fréquemment – ​​dans le but de partager ce que nous avons appris pour aider les autres à renforcer leur sécurité. Nous avons collaboré étroitement avec le gouvernement et encouragé d’autres entreprises à être plus ouvertes en matière de sécurité en partageant des informations et des meilleures pratiques. .

« Les accusations portées par la SEC risquent désormais de compromettre le partage ouvert d’informations au sein du secteur, ce que les experts en cybersécurité estiment nécessaire pour notre sécurité collective. »

Plus tôt cette année, la SEC envoyé des avis à Wells liés à son enquête sur la violation de 2020 auprès de l’entreprise et des dirigeants de SolarWinds, y compris le directeur financier et le RSSI. Ces avis informaient les destinataires que le personnel de la SEC préconisait une action civile contre eux, alléguant des violations des lois fédérales américaines sur les valeurs mobilières.

Le groupe de menace russe APT29 a violé les systèmes internes de SolarWinds et a infecté la plate-forme d’administration informatique SolarWinds Orion et les versions ultérieures publiées entre mars 2020 et juin 2020.

Les versions malveillantes ont été utilisées pour introduire la porte dérobée Sunburst sur les systèmes de « moins de 18 000 » victimes. Cependant, les attaquants ont sélectionné un nombre nettement inférieur de cibles pour une exploitation en deuxième étape.

SolarWinds affirme compter plus de 300 000 clients dans le monde et 96 % des sociétés Fortune 500, dont les dix plus grandes sociétés de télécommunications américaines, Apple, Google, Amazon et une longue liste d’agences gouvernementales (tels que l’armée américaine, le Pentagone américain, le Département d’État, la NASA, la NSA, le service postal, la NOAA, le ministère américain de la Justice et le Bureau du président des États-Unis).

Plusieurs agences gouvernementales américaines ont confirmé par la suite qu’elles avaient été violées, notamment le département d’Étatle département de la Sécurité intérieure (EDS), le Département du Trésorle ministère de l’Énergie (DOE), le Administration nationale des télécommunications et de l’information (NTIA), le Instituts nationaux de la santé (NIH) (qui fait partie du ministère américain de la Santé) et de la National Nuclear Security Administration (NNSA).

Mise à jour le 30 octobre à 18 h 14 HAE : Un porte-parole de SolarWinds a envoyé la déclaration suivante après la publication de l’article :

Nous sommes déçus par les accusations infondées de la SEC liées à une cyberattaque russe contre une entreprise américaine et sommes profondément préoccupés par le fait que cette action mette en danger notre sécurité nationale. La détermination de la SEC à fabriquer une plainte contre nous et notre RSSI est un autre exemple de la portée excessive de l’agence et devrait alarmer toutes les entreprises publiques et les professionnels engagés de la cybersécurité à travers le pays. Nous sommes impatients de clarifier la vérité devant les tribunaux et de continuer à soutenir nos clients grâce à nos engagements Secure by Design.