Microsoft a révélé jeudi que les acteurs de la menace derrière l’attaque de la chaîne d’approvisionnement SolarWinds avaient pu accéder à un petit nombre de comptes internes et augmenter l’accès à l’intérieur de son réseau interne.
L ‘«acteur très sophistiqué de l’État-nation» a utilisé l’accès non autorisé pour afficher, mais pas modifier, le code source présent dans ses référentiels, a déclaré la société.
« Nous avons détecté une activité inhabituelle avec un petit nombre de comptes internes et après examen, nous avons découvert qu’un compte avait été utilisé pour afficher le code source dans un certain nombre de référentiels de code source », a déclaré le fabricant de Windows. divulgué dans une mise à jour.
« Le compte n’avait pas l’autorisation de modifier le code ou les systèmes d’ingénierie et notre enquête a confirmé qu’aucune modification n’avait été apportée. Ces comptes ont été étudiés et corrigés. »
Le développement est le dernier de la vaste saga d’espionnage qui a été révélée plus tôt en décembre à la suite des révélations de la société de cybersécurité FireEye selon laquelle des attaquants avaient compromis ses systèmes via une mise à jour de SolarWinds trojanized pour voler ses outils de test de pénétration Red Team.
Au cours de l’enquête sur le piratage, Microsoft avait précédemment admis avoir détecté des binaires SolarWinds malveillants dans son propre environnement, mais avait nié que ses systèmes étaient utilisés pour cibler d’autres personnes ou que les attaquants avaient accès aux services de production ou aux données clients.
Plusieurs autres sociétés, dont Cisco, VMware, Intel, NVIDIA et un certain nombre d’autres agences gouvernementales américaines, ont depuis découvert des marqueurs du malware Sunburst (ou Solorigate) sur leurs réseaux, implantés via des mises à jour d’Orion corrompues.
La société basée à Redmond a déclaré que son enquête était toujours en cours mais a minimisé l’incident, ajoutant que « la visualisation du code source n’est pas liée à l’élévation du risque » et qu’elle avait trouvé des preuves de tentatives d’activités neutralisées par ses protections.
Dans un autre une analyse publié par Microsoft le 28 décembre, la société a qualifié l’attaque de «compromis inter-domaines» qui a permis à l’adversaire d’introduire du code malveillant dans les binaires signés de SolarWinds Orion Platform et de tirer parti de cette implantation généralisée pour continuer à fonctionner sans être détecté et accéder aux ressources cloud de la cible, ce qui a abouti dans l’exfiltration de données sensibles.
Cependant, le logiciel Orion de SolarWinds n’était pas le seul vecteur d’infection initial, car la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a déclaré que les attaquants utilisaient également d’autres méthodes, qui n’ont pas encore été divulguées publiquement.
L’agence a également publié des orientation exhortez toutes les agences fédérales américaines qui exécutent encore le logiciel SolarWinds Orion à mettre à jour la dernière version 2020.2.1 HF2.
« La National Security Agency (NSA) a examiné cette version et vérifié qu’elle élimine le code malveillant précédemment identifié », a indiqué l’agence.
