Alors que les chercheurs en cybersécurité continuent de reconstituer l’attaque tentaculaire de la chaîne d’approvisionnement SolarWinds, les hauts dirigeants de la société de services logiciels basée au Texas ont blâmé un stagiaire pour une erreur de mot de passe critique qui est passée inaperçue pendant plusieurs années.

On pensait à l’origine que ledit mot de passe “solarwinds123” était accessible au public via un référentiel GitHub depuis le 17 juin 2018, avant que la mauvaise configuration ne soit corrigée le 22 novembre 2019.

Mais dans un audience Devant les comités de surveillance et de réforme et de sécurité intérieure de la Chambre sur SolarWinds vendredi, le PDG Sudhakar Ramakrishna a déclaré que le mot de passe était utilisé dès 2017.

Alors qu’une enquête préliminaire sur l’attaque a révélé que les opérateurs derrière la campagne d’espionnage ont réussi à compromettre l’infrastructure de construction logicielle et de signature de code de la plate-forme SolarWinds Orion dès octobre 2019 pour fournir la porte dérobée Sunburst, les efforts de réponse aux incidents de Crowdstrike ont indiqué un calendrier révisé qui a établi la première brèche du réseau SolarWinds le 4 septembre 2019.

À ce jour, au moins neuf agences gouvernementales et 100 entreprises du secteur privé ont été enfreintes dans ce qui est décrit comme l’une des opérations les plus sophistiquées et bien planifiées consistant à injecter l’implant malveillant dans la plate-forme logicielle Orion dans le but de compromettre ses clients.

“Une erreur commise par un stagiaire.”

«J’ai un mot de passe plus fort que ‘solarwinds123’ pour empêcher mes enfants de regarder trop de YouTube sur leur iPad», a déclaré la représentante Katie Porter de Californie. “Vous et votre entreprise étiez censés empêcher les Russes de lire les courriels du ministère de la Défense.”

«Je pense que c’était un mot de passe qu’un stagiaire a utilisé sur l’un de ses serveurs en 2017, qui a été signalé à notre équipe de sécurité et qui a été immédiatement supprimé», a déclaré Ramakrishna en réponse à Porter.

L’ancien PDG Kevin Thompson a fait écho à la déclaration de Ramakrishna lors du témoignage. “Cela était lié à une erreur commise par un stagiaire, et ils ont violé nos politiques de mot de passe et ils ont publié ce mot de passe sur leur propre compte GitHub privé”, a déclaré Thompson. “Dès qu’il a été identifié et porté à l’attention de mon équipe de sécurité, ils l’ont retiré.”

Le chercheur en sécurité Vinoth Kumar a révélé en décembre qu’il avait notifié à l’entreprise un référentiel GitHub accessible au public qui divulguait en clair les informations d’identification FTP du site Web de téléchargement de l’entreprise, ajoutant qu’un pirate pouvait utiliser les informations d’identification pour télécharger un exécutable malveillant et l’ajouter à un Mise à jour de SolarWinds.

Dans les semaines qui ont suivi la révélation, SolarWinds a été frappé par un recours collectif en janvier 2021 qui alléguait que la société avait omis de divulguer que “depuis la mi-2020, les produits de surveillance SolarWinds Orion avaient une vulnérabilité qui permettait aux pirates de compromettre le serveur sur lequel le produits ont fonctionné “et que” le serveur de mise à jour de SolarWinds avait un mot de passe facilement accessible “solarwinds123”, “à la suite de quoi la société” subirait un préjudice de réputation considérable “.

La NASA et la FAA également ciblées

On pense que jusqu’à 18000 clients de SolarWinds ont reçu la mise à jour d’Orion trojanized, bien que l’acteur de la menace derrière l’opération ait soigneusement choisi ses cibles, optant pour une escalade des attaques seulement dans une poignée de cas en déployant le malware Teardrop basé sur les informations amassées lors d’une première reconnaissance. de l’environnement cible pour les comptes et les actifs de grande valeur.

En plus d’infiltrer les réseaux de Microsoft, FireEye, Malwarebytes, CrowdStrike et Mimecast, les attaquants auraient également utilisé SolarWinds comme point de départ pour pénétrer la National Aeronautics and Space Administration (NSA) et la Federal Aviation Administration (FAA), selon le Washington Post.

Les sept autres agences violées sont les départements d’État, de justice, de commerce, de sécurité intérieure, de l’énergie, du Trésor et les instituts nationaux de la santé.

“En plus de cette estimation, nous avons identifié d’autres victimes du gouvernement et du secteur privé dans d’autres pays, et nous pensons qu’il est très probable qu’il reste d’autres victimes non encore identifiées, peut-être en particulier dans les régions où la migration vers le cloud n’est pas aussi avancée qu’elle. est aux États-Unis », a déclaré le président de Microsoft, Brad Smith, lors de l’audience.

Le groupe de menaces, présumé d’origine russe, est suivi sous différents noms, notamment UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) et Dark Halo (Volexity).

“Les pirates ont lancé le piratage depuis les États-Unis, ce qui a rendu plus difficile pour le gouvernement américain d’observer leur activité”, a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale. mentionné lors d’un briefing de la Maison Blanche le mois dernier. “C’est un acteur sophistiqué qui a fait de son mieux pour cacher ses traces. Nous pensons qu’il leur a fallu des mois pour planifier et exécuter ce compromis.”

Adopter une approche «Secure by Design»

Comparant la cyberattaque de SolarWinds à une “série à grande échelle d’invasions de domicile”, Smith exhorté la nécessité de renforcer les chaînes d’approvisionnement de logiciels et de matériel du secteur de la technologie et de promouvoir un partage plus large des renseignements sur les menaces pour des réponses en temps réel lors de tels incidents.

À cet effet, Microsoft a requêtes CodeQL open source utilisé pour rechercher l’activité Solorigate, qui pourrait être utilisée par d’autres organisations pour analyser leur code source à grande échelle et vérifier les indicateurs de compromis (IoC) et les modèles de codage associés à l’attaque.

Dans un développement connexe, les chercheurs en cybersécurité Parlant Le Wall Street Journal a révélé que les pirates russes présumés utilisaient les centres de données de cloud computing d’Amazon pour monter un élément clé de la campagne, jetant un nouvel éclairage sur la portée des attaques et les tactiques employées par le groupe. Le géant de la technologie, cependant, n’a jusqu’à présent pas rendu public ses connaissances sur l’activité de piratage.

SolarWinds, pour sa part, a déclaré qu’il mettait en œuvre les connaissances acquises lors de l’incident pour évoluer vers une entreprise qui est «sécurisée par conception» et qu’elle déploie des logiciels supplémentaires de protection contre les menaces et de recherche de menaces sur tous ses points de terminaison réseau, y compris des mesures pour protéger ses environnements de développement .



Leave a Reply