Le gouvernement américain a officiellement pointé du doigt mardi le gouvernement russe pour avoir orchestré l’attaque massive de la chaîne d’approvisionnement de SolarWinds qui a été révélée au début du mois dernier.

« Ce travail indique qu’un acteur de la menace persistante avancée (APT), probablement d’origine russe, est responsable de la plupart ou de la totalité des cyber-compromis récemment découverts et en cours des réseaux gouvernementaux et non gouvernementaux », a déclaré le Federal Bureau of Investigation (FBI). ), la Cybersecurity and Infrastructure Security Agency (CISA), le bureau du directeur du renseignement national (ODNI) et la National Security Agency (NSA) m’a dit dans une déclaration commune.

La Russie, cependant, refusé toute implication dans l’opération du 13 décembre, en précisant qu’elle «ne mène pas d’opérations offensives dans le cyberdomaine».

Le FBI, CISA, ODNI et NSA sont membres du Cyber ​​Unified Coordination Group (UCG), un groupe de travail nouvellement formé mis en place par le Conseil de sécurité nationale de la Maison Blanche pour enquêter et diriger les efforts de réponse pour remédier à la violation de SolarWinds.

Un nombre beaucoup plus petit compromis

Appelant la campagne un «effort de collecte de renseignements», les bureaux de renseignement ont déclaré qu’ils travaillaient actuellement à comprendre toute la portée du piratage tout en notant que moins de 10 agences gouvernementales américaines ont été touchées par le compromis.

Les noms des agences concernées n’ont pas été divulgués, bien que les rapports précédents aient distingué le Trésor américain, le Commerce, l’État et les départements de l’énergie et de la sécurité intérieure parmi ceux qui ont détecté des installations de logiciels de gestion de réseau SolarWind contaminées, sans parler d’un certain nombre. d’entités privées à travers le monde.

Selon les estimations, 18 000 clients de SolarWinds auraient téléchargé la mise à jour du logiciel détourné, mais l’UCG a déclaré que seul un plus petit nombre avait été soumis à une activité intrusive «de suivi» sur leurs réseaux internes.

L’analyse par Microsoft du mode opératoire de Solorigate le mois dernier a révélé que le malware de deuxième étape, baptisé Teardrop, a été déployé de manière sélective contre des cibles basées sur les informations recueillies lors d’une première reconnaissance de l’environnement de la victime pour les comptes et les actifs de grande valeur.

La déclaration conjointe confirme également les spéculations précédentes qui ont lié l’opération d’espionnage à APT29 (ou Cozy Bear), un groupe de pirates informatiques parrainés par l’État et associés au Service de renseignement extérieur russe (SVR).

La campagne de piratage était remarquable pour son ampleur et sa furtivité, les attaquants tirant parti de la confiance associée au logiciel SolarWinds Orion pour espionner les agences gouvernementales et d’autres entreprises pendant au moins neuf mois, y compris la visualisation du code source et le vol d’outils de sécurité, au moment où elle était découvert.

SolarWinds fait face à un recours collectif

Pendant ce temps, SolarWinds fait face à de nouvelles retombées après un actionnaire de la société de logiciels de gestion de l’infrastructure informatique a déposé un recours collectif devant le tribunal de district américain du district ouest du Texas lundi contre son président, Kevin Thompson, et son directeur financier, J.Barton Kalsu, affirmant que les dirigeants avaient violé les lois fédérales sur les valeurs mobilières en vertu du Securities Exchange Act de 1934.

La plainte déclare que SolarWinds n’a pas révélé que « depuis la mi-2020, les produits de surveillance SolarWinds Orion avaient une vulnérabilité qui permettait aux pirates de compromettre le serveur sur lequel les produits fonctionnaient », et que « le serveur de mise à jour de SolarWinds avait un mot de passe facilement accessible de » solarwinds123 ‘, « à la suite de quoi la société » subirait un préjudice important à sa réputation « .