Placée sous l'égide de la Sécurité intérieure des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) publie une directive d'urgence à la suite d'une compromission de la solution Orion de SolarWinds avec une exploitation par des acteurs malveillants.
" Cette directive d'urgence demande à toutes les agences civiles fédérales d'examiner leurs réseaux pour détecter les indicateurs de compromission et déconnecter ou éteindre immédiatement les produits SolarWinds Orion ", peut-on lire.
Orion est une plateforme présentée comme une solution de gestion et de surveillance de l'infrastructure informatique dans des environnements sur site, hybrides et SaaS (Software as a Service). SolarWinds confirme une attaque dite très sophistiquée qui a touché la chaîne d'approvisionnement entre mars 2020 et juin 2020.
Les mises à jour 2019.4 à 2020.2.1 de la solution Orion publiées au cours de cette période sont concernées. Elles ont été infectées par du code malveillant. " Nous recommandons de mettre à niveau vers la version 2020.2.1 HF 1 de la plateforme Orion dès que possible. " SolarWinds ajoute qu'un correctif supplémentaire sera disponible avec la version 2020.2.1 HF 2 le 15 décembre.
Pas que les agences gouvernementales américaines
Le malware en question est dénommé SUNBURST par FireEye qui publie un rapport technique à ce sujet et parle d'une backdoor pour communiquer via HTTP avec des serveurs tiers. Il est autrement dénommé Solorigate par Microsoft qui évoque un composant DLL modifié d'un logiciel légitime et a ajouté une détection de la menace pour son antivirus Windows Defender. Le groupe de Redmond souligne des cyberattaques d'un État-nation.
D'après FireEye, la campagne d'attaque a touché des organisations publiques et privées dans le monde entier. Récemment victime d'une cyberattaque soutenue par un État et du vol d'outils de hacking, le groupe de cybersécurité précise des cibles parmi des gouvernements, sociétés de conseil, entreprises technologiques, de télécommunications… en Amérique du Nord, Europe, Asie et au Moyen-Orient.
Cela tient évidemment au portefeuille de clients de SolarWinds avec Orion. Selon l'agence de presse Reuters, qui mentionne des sources proches du dossier, les attaquants seraient à la solde de la Russie et auraient surveillé le trafic email interne des départements du Trésor et du Commerce des États-Unis. D'où l'alerte de la CISA.
Une nouvelle fois, les soupçons se tournent vers le groupe APT29 (ou Cozy Bear) qui serait en lien avec les services de renseignement russes. Des allégations balayées d'un revers de la main par le ministère russe des affaires étrangères. FireEye n'attribue pas les cyberattaques à APT29 et préfère donner un nom neutre de UNC2452 pour le moment.
