Mi-décembre, FireEye rendait publique une infiltration sur son réseau informatique. Dans la foulée, plusieurs branches du gouvernement américain se découvraient également victimes d’une opération de cyberespionnage. Les enquêteurs commençaient alors à tirer sur le bout du fil d’une pelote de laine, et n’ont pas arrêté depuis.
Rapidement, le principal outil utilisé par les hackers a été identifié : un cheval de Troie, nommé Sunburst, capable d’ouvrir un accès au réseau des victimes. Les cyberespions étaient parvenus à planter discrètement ce malware dans Orion, un logiciel de gestion réseau édité par SolarWinds. Sur son site, l’entreprise se félicitait de compter parmi ses clients plusieurs branches du gouvernement américain et la majorité des plus grandes entreprises. Autant de victimes de Sunburst.
Les hackers n’avaient pas que Sunburst dans leur sac. // Source : CCO/Pxhere
En tout, plus de 18 000 clients de SolarWinds ont téléchargé la version vérolée du logiciel entre mars et juin 2020. Mais les hackers — russes, selon le gouvernement américain et plusieurs entreprises — n’ont exploité manuellement que quelques dizaines des portes ouvertes par Sunburst.
30 % des victimes n’utilisaient pas de logiciel de SolarWinds
Parmi les quelques victimes déclarées publiquement, certaines, comme Malwarebytes, n’étaient pas clientes de SolarWinds. Les cyberespions ont donc rusé : dans le cas de Malwarebytes, ils ont exploité une application vulnérable présente sur l’espace Microsoft Office 365 de l’entreprise pour accéder à certains échanges internes.
Dès lors, une évidence commençait à poindre à l’horizon : la compromission de SolarWinds ne serait que le symptôme visible d’une campagne d’espionnage d’une plus grande ampleur.
Ce 29 janvier, Brandon Wales, dirigeant du CISA, la branche cyber du gouvernement américain, a révélé au Wall Street Journal que 30 % des victimes de l’attaque ne sont pas clientes de SolarWinds. Autrement dit, la campagne de cyberespionnage s’étend bien au-delà de « l’affaire SolarWinds ». Les hackers ont aussi utilisé des méthodes plus simples et exploité d’autres vulnérabilités — connues et possiblement inconnues — pour atteindre leurs victimes. Le tout, avec un degré de discipline et de discrétion remarquable. « Cette campagne ne doit pas être pensée comme la campagne contre SolarWinds », confirme Wales au média américain.
L’opération d’espionnage n’est découverte que plus d’un an après son début
Résultats de ces attaques : certaines victimes ont été infiltrées avant même que SolarWinds ne déploie la version vérolée d’Orion, début 2020. D’ailleurs SolarWinds elle-même a été infiltrée en septembre 2019. Les hackers ont vraisemblablement pu espionner certaines de leurs victimes sans se faire remarquer pendant plus de 6 mois.
Ces nouvelles révélations ne font qu’accentuer le constat d’échec des autorités américaines, qui n’ont ni décelé Sunburst (particulièrement bien dissimulé par ailleurs) ni ces autres biais de compromission. De son côté, SolarWinds n’a pas fait mieux. Forbes a exposé qu’en septembre et octobre 2020, deux de ses clients spécialisés en cybersécurité, Cisco et Palo Alto Networks, l’ont averti chacun à leur tour d’un problème de sécurité. C’était avant que FireEye ne se déclare victime et identifie l’origine de l’attaque. SolarWinds avait alors mené deux enquêtes internes, coup sur coup, mais n’avait pas identifié les premiers signes de Sunburst. Un raté symbolique des prouesses techniques réalisées par les hackers.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
