Présentée comme sophistiquée et avec les autorités américaines qui soupçonnent des attaquants liés à la Russie, une cyberattaque a eu pour point de départ la compromission de la chaîne d'approvisionnement de SolarWinds avec son produit Orion.
Du code malveillant a été injecté dans des mises à jour de cette plateforme de gestion et de surveillance de l'infrastructure informatique dans des environnements sur site, hybrides et SaaS (Software as a Service).
Lancée en mars 2020, la cyberattaque a concerné 18 000 clients de SolarWinds ayant utilisé une mise à jour infectée de la plateforme Orion. De quoi permettre le déploiement d'un cheval de Troie de type backdoor, notamment au sein d'agences gouvernementales américaines.
Révélée en décembre, cette cyberattaque est autrement dénommée Solorigate par Microsoft, alors que FireEye parle de SUNBURST en référence au malware employé. Les deux groupes ont eux-mêmes été infectés.
Du code source de Microsoft consulté
Microsoft avait détecté la présence de binaires malveillants de SolarWinds dans son environnement, tout en assurant ne pas avoir trouvé de preuve d'un accès à des services de production ou des données de clients. Ses systèmes n'ont en outre pas été utilisés pour répandre l'attaque.
Dans le cadre de son enquête sur la cyberattaque, le groupe de Redmond a récemment révélé qu'un de ses comptes en interne a été utilisé pour consulter le code source de plusieurs dépôts. Autrement dit, les attaquants ont été en mesure de voir du code source de Microsoft.
" Le compte n'avait pas les permissions pour modifier le code ou les systèmes d'ingénierie, et notre enquête a confirmé qu'aucun changement n'avait été effectué. " Microsoft ajoute que des mesures correctrices ont été appliquées et minimise l'incident.
Microsoft met en avant son approche du partage de code source au sein de son groupe. " Nous ne dépendons pas du secret du code source pour la sécurité des produits, et nos modèles de menace supposent que les attaquants ont connaissance du code source. La consultation du code source ne représente donc pas une élévation du risque. "
Pour cette cyberattaque, Microsoft souligne son devoir de transparence. L'ampleur et la teneur du code source consulté ne sont toutefois pas précisées.
