La société de logiciels SolarWinds, basée à Austin, a été victime d’une attaque massive de la chaîne d’approvisionnement qui serait le travail de pirates informatiques parrainés par l’État.
Selon un nouveau billet de blog de la société de cybersécurité FireEye, les attaquants ont violé le fournisseur de logiciels, puis ont déployé des mises à jour pour le logiciel Orion de Solarwinds qui étaient remplies de logiciels malveillants afin d’infecter les réseaux d’organisations ainsi que plusieurs agences gouvernementales aux États-Unis.
Les dernières mises à jour sur l’attaque de la chaîne d’approvisionnement interviennent après que plusieurs médias ont rapporté dimanche que les services du Trésor et du commerce des États-Unis avaient été touchés par une cyberattaque.
Alors que les sources qui ont parlé avec le Washington Post a crédité le groupe de piratage basé en Russie APT29 ou Cozy Bear pour l’attaque, FireEye a plutôt donné au groupe le nom de code UNC2452 jusqu’à ce qu’il puisse être prouvé qu’APT29 était vraiment responsable.
Microsoft a également confirmé que SolarWinds avait été victime d’une cyberattaque dans une série d’alertes de sécurité envoyées en privé à ses clients dimanche.
Sommaire
Utilisation de mises à jour pour déployer des logiciels malveillants
Dans un avis de sécurité envoyé dimanche soir, SolarWinds a admis que sa plate-forme logicielle Orion avait été violée lors d’une attaque ciblée, déclarant:
«SolarWinds vient d’être informé que nos systèmes ont subi une attaque manuelle très sophistiquée de la chaîne logistique sur les versions logicielles de SolarWinds Orion Platform pour les versions 2019.4 HF 5 et 2020.2 sans hotfix ou 2020.2 HF 1. Nous avons été informés que cette attaque a probablement été menée par un en dehors de l’État-nation et se veut une attaque étroite, extrêmement ciblée et exécutée manuellement, par opposition à une attaque générale à l’échelle du système.
FirEye a nommé le logiciel malveillant déployé dans les mises à jour d’Orion de SolarWinds Sunburst, tandis que Microsoft lui a donné le nom de Solorigate et a ajouté des règles de détection à son logiciel antivirus. La société de cybersécurité a également publié un rapport technique ainsi qu’un ensemble de règles de détection sur GitHub.
SolarWinds prévoit de publier mardi une nouvelle mise à jour (2020.2.1 HF 2) qui «remplace le composant compromis et fournit plusieurs améliorations de sécurité supplémentaires».
Via ZDNet
