Les pirates de SolarWinds

Le ministère américain de la Justice est devenu mercredi la dernière agence gouvernementale du pays à admettre que son réseau interne avait été compromis dans le cadre de l’attaque de la chaîne d’approvisionnement de SolarWinds.

“Le 24 décembre 2020, le Bureau du directeur général de l’information (OCIO) du ministère de la Justice a appris une activité malveillante jusque-là inconnue liée à l’incident mondial de SolarWinds qui a touché plusieurs agences fédérales et entrepreneurs technologiques, entre autres”, porte-parole du DoJ Marc Raimondi m’a dit dans une brève déclaration. “Cette activité impliquait l’accès à l’environnement de messagerie Microsoft Office 365 du Ministère.”

Appelant cela un “incident majeur”, le DoJ a déclaré que les acteurs de la menace qui espionnaient les réseaux gouvernementaux via le logiciel SolarWinds avaient potentiellement accédé à environ 3% des comptes de messagerie du ministère de la Justice, mais a ajouté qu’il n’y avait aucune indication qu’ils avaient accédé à des systèmes classifiés.

La divulgation intervient un jour après que le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), le Bureau du directeur du renseignement national (ODNI) et la National Security Agency (NSA) aient officiellement publié une déclaration conjointe. accusant un adversaire “probablement d’origine russe” d’avoir organisé le piratage de SolarWinds.

Les agences ont décrit l’ensemble de l’opération SolarWinds comme «un effort de collecte de renseignements».

La campagne d’espionnage, qui a débuté en mars 2020, a fonctionné en fournissant un code malveillant qui s’appuyait sur le logiciel de gestion de réseau SolarWinds à pas moins de 18000 de ses clients, bien qu’une activité intrusive supplémentaire ne semble avoir été menée que contre des cibles sélectionnées.

Dans un développement séparé, Le New York Times, Reuters, et Le journal de Wall Street Les bureaux de renseignement signalés sondent la possibilité que le système de distribution de logiciels TeamCity de JetBrains ait été violé et «utilisé comme une voie pour que les pirates informatiques insèrent des portes dérobées dans le logiciel d’un nombre incalculable d’entreprises technologiques».

TeamCity est un serveur de gestion de build et d’intégration continue proposé par la société tchèque de développement de logiciels. JetBrains compte 79 des entreprises Fortune 100 parmi ses clients, y compris SolarWinds.

Mais dans un article de blog publié par son PDG Maxim Shafirov, la société refusé être impliqué dans l’attaque de quelque manière que ce soit, ou qu’il a été contacté par un gouvernement ou une agence de sécurité concernant son rôle dans l’incident de sécurité.

«SolarWinds est l’un de nos clients et utilise TeamCity, qui est un système d’intégration et de déploiement continus, utilisé dans le cadre de la création de logiciels», a déclaré Shafirov. “SolarWinds ne nous a pas contacté avec des détails concernant la violation et les seules informations dont nous disposons sont celles qui ont été rendues publiques.”

Shafirov a également souligné que dans le cas où TeamCity avait été utilisé pour compromettre SolarWinds, cela pourrait être dû à une mauvaise configuration et non à une vulnérabilité spécifique.



Leave a Reply