Il y a quelques jours, des organisations gouvernementales et plusieurs milliers d’entreprises découvraient avec stupeur qu’elles avaient été infiltrées par des pirates informatiques russes, et que ces attaques visant à récolter des informations sur les cibles infiltrées avaient commencé il y a déjà plusieurs mois. Tandis que les données sur le type d’attaques et les procédures utilisées par les pirates — impliquant une porte dérobée dans le logiciel d’entreprise Orion — sont encore en cours d’analyse, les entreprises et autorités gouvernementales potentiellement touchées par l’intrusion sont urgemment invitées à rechercher toute trace de l’attaque et appliquer les correctifs nécessaires.
Des milliers d’entreprises et de gouvernements se précipitent actuellement pour découvrir s’ils ont été touchés par les pirates informatiques russes qui auraient infiltré plusieurs agences gouvernementales américaines. La brèche initiale, signalée le 13 décembre, incluait le Trésor ainsi que les départements du commerce et de la sécurité intérieure. Mais les techniques furtives utilisées par les pirates informatiques signifient que cela pourrait prendre des mois pour identifier toutes les victimes et supprimer les logiciels espions qu’ils ont installés.
Une porte dérobée dans le logiciel Orion de SolarWinds
Pour mener à bien leur attaque, les pirates ont d’abord fait irruption dans les systèmes de SolarWinds, une société de logiciels américaine. Là, ils ont inséré une porte dérobée dans Orion, l’un des produits de la société, que les organisations utilisent pour visualiser et gérer de vastes réseaux internes d’ordinateurs.
Pendant plusieurs semaines à partir de mars, tout client ayant mis à jour la dernière version d’Orion — signée numériquement par SolarWinds, et donc apparemment légitime — a involontairement téléchargé le logiciel compromis, permettant aux pirates d’accéder à leurs systèmes. SolarWinds compte environ 300’000 clients dans le monde, dont la plupart des entreprises du Fortune 500 et de nombreux gouvernements.
Dans un rapport déposé auprès de la Securities and Exchange Commission, la société a déclaré que pas moins de 18’000 organisations avaient déjà téléchargé la mise à jour compromise. Les pirates étaient « extrêmement intelligents et stratégiques », déclare Greg Touhill, un ancien responsable fédéral de la sécurité de l’information. Même une fois qu’ils avaient eu accès à la porte dérobée d’Orion, connue sous le nom de Sunburst, ils agissaient lentement et minutieusement.
Une intrusion lente et minutieuse
Au lieu d’infiltrer de nombreux systèmes à la fois, ce qui aurait facilement pu soulever des soupçons, ils se sont concentrés sur un petit ensemble de cibles sélectionnées, selon un rapport de la société de sécurité FireEye. Sunburst est restée silencieuse pendant deux semaines complètes avant de se réveiller et de commencer à communiquer avec les pirates informatiques. Le malware déguise son trafic réseau en « Orion Improvement Program » et stocke les données dans des fichiers légitimes afin de mieux se cacher. Il recherche également des outils de sécurité et antivirus sur la machine infectée afin de les éviter.
Pour couvrir davantage leurs traces, les pirates ont pris soin d’utiliser des ordinateurs et des réseaux pour communiquer une seule fois avec la porte dérobée d’une cible donnée — l’équivalent de l’utilisation d’un téléphone jetable. Ils ont fait un usage limité des logiciels malveillants, car ils sont relativement faciles à repérer.
Au lieu de cela, une fois qu’ils avaient l’accès initial par la porte dérobée, ils avaient tendance à opter pour la voie plus silencieuse consistant à utiliser de véritables informations d’identification volées pour accéder à distance aux machines d’une victime. Et le logiciel malveillant qu’ils ont déployé ne réutilise pas le même code, ce qui a rendu l’espionnage plus difficile à détecter, car les programmes de sécurité recherchent le code qui s’est manifesté lors de piratages précédents.
À la recherche des signes d’intrusion
Les signes de la campagne d’intrusion remontent à mars, selon les rapports de sécurité de Microsoft et FireEye, qui ont révélé une violation connexe de leurs propres réseaux la semaine dernière. Cela signifie que toute organisation qui soupçonne qu’elle a pu être une cible doit désormais parcourir au moins 10 mois de journaux système à la recherche d’une activité suspecte, une tâche qui dépasse la capacité de nombreuses équipes de sécurité.
Pour aider les organisations à déterminer si leurs systèmes ont été piratés, FireEye et Microsoft ont publié une longue liste d’« indicateurs de compromission ». Les indicateurs incluent la présence de Sunburst lui-même, ainsi que certaines des adresses IP identifiant les ordinateurs et les réseaux utilisés par les pirates pour communiquer avec lui.
Si une équipe trouve l’une de ces adresses IP dans ses journaux réseau, c’est un vrai signe de mauvaises nouvelles. Mais comme les hackers n’ont utilisé chaque adresse qu’une seule fois, leur absence n’est pas une garantie de sécurité. Les pirates présumés proviennent du SVR russe, la principale agence de renseignement étrangère du pays. Connus alternativement sous le nom de Cosy Bear et APT29, ils ont compilé une longue liste de violations, dont le piratage du Comité national démocrate en 2016. La Russie nie toute implication.