SolarWinds Orion, le produit de gestion de réseau ciblé, est utilisé dans des dizaines de milliers d’entreprises et d’agences gouvernementales. Plus de 17 000 organisations ont téléchargé la porte dérobée infectée. Les pirates étaient extrêmement furtifs et précis dans le ciblage, c’est pourquoi il a fallu si longtemps pour les attraper et pourquoi il faut si longtemps pour comprendre leur plein impact.
La difficulté de découvrir l’étendue des dégâts a été résumée par Brad Smith, le président de Microsoft, lors d’une audition devant le Congrès la semaine dernière.
« Qui connaît l’intégralité de ce qui s’est passé ici? » il a dit. «À l’heure actuelle, l’attaquant est le seul à connaître l’intégralité de ce qu’il a fait.»
Kevin Mandia, PDG de la société de sécurité FireEye, qui a soulevé les premières alertes sur l’attaque, a déclaré au Congrès que les pirates avaient avant tout donné la priorité à la furtivité.
«La perturbation aurait été plus facile que ce qu’ils ont fait», a-t-il déclaré. «Ils avaient un vol de données ciblé et discipliné. Il est plus facile de tout supprimer dans un traumatisme contondant et de voir ce qui se passe. Ils ont en fait fait plus de travail qu’il n’en aurait fallu pour devenir destructeurs.
« Cela a une lueur d’espoir »
CISA a entendu parler d’un problème pour la première fois lorsque FireEye a découvert qu’il avait été piraté et a notifié l’agence. La société travaille régulièrement en étroite collaboration avec le gouvernement américain et, bien qu’elle ne soit pas légalement obligée de parler du piratage à qui que ce soit, elle a rapidement partagé la nouvelle du compromis avec des réseaux d’entreprise sensibles.
C’est Microsoft qui a dit au gouvernement américain que les réseaux fédéraux avaient été compromis. La société a partagé ces informations avec le Pays de Galles le 11 décembre, a-t-il déclaré dans une interview. Microsoft a observé les pirates informatiques pénétrer dans le cloud Microsoft 365 utilisé par de nombreuses agences gouvernementales. Un jour plus tard, FireEye a informé CISA de la porte dérobée de SolarWinds, un outil peu connu mais extrêmement répandu et puissant.
Cela indiquait que l’ampleur du piratage pouvait être énorme. Les enquêteurs de CISA ont fini par travailler pendant les vacances pour aider les agences à rechercher les pirates dans leurs réseaux.
Ces efforts ont été rendus encore plus compliqués car le Pays de Galles venait à peine de prendre le relais de l’agence: quelques jours plus tôt, l’ancien directeur Chris Krebs avait été limogé par Donald Trump pour avoir démystifié à plusieurs reprises la désinformation de la Maison Blanche sur une élection volée.
L’article La récupération du piratage SolarWinds pourrait prendre 18 mois est apparu en premier sur zimo news.