211service.com
Comment des hackers russes ont infiltré le gouvernement américain pendant des mois sans se faire repérer
Le département du Trésor à Washington, DC. Le Département du Trésor américain' par *rboed* est sous licence CC BY 2.0
Des milliers d'entreprises et de gouvernements se précipitent pour découvrir s'ils ont été touchés par les pirates informatiques russes qui auraient infiltré plusieurs agences gouvernementales américaines. La rupture initiale, signalé le 13 décembre, comprenait le Trésor ainsi que les départements du Commerce et de la Sécurité intérieure. Mais les techniques furtives utilisées par les pirates signifient que cela pourrait prendre des mois pour identifier toutes leurs victimes et supprimer les logiciels espions qu'ils ont installés.
Pour mener à bien la brèche, les pirates ont d'abord pénétré dans les systèmes de SolarWinds, une société de logiciels américaine. Là, ils ont inséré une porte dérobée dans Orion, l'un des produits de la société, que les organisations utilisent pour voir et gérer de vastes réseaux internes d'ordinateurs. Pendant plusieurs semaines à partir de mars, tout client mis à jour vers la dernière version d'Orion - signé numériquement par SolarWinds, et donc apparemment légitime - a involontairement téléchargé le logiciel compromis, donnant aux pirates un accès à leurs systèmes.
SolarWinds compte environ 300 000 clients dans le monde, dont la plupart des entreprises du Fortune 500 et de nombreux gouvernements. dans un nouveau dépôt avec la Securities and Exchange Commission, la société a déclaré que moins de 18 000 organisations avaient déjà téléchargé la mise à jour compromise. (SolarWinds a déclaré qu'il n'était pas encore clair combien de ces systèmes avaient été piratés.) La pratique standard en matière de cybersécurité consiste à maintenir votre logiciel à jour. Par conséquent, la plupart des clients de SolarWinds, ironiquement, ont été protégés parce qu'ils n'avaient pas suivi ce conseil.
Les pirates étaient extrêmement intelligents et stratégiques, explique Greg Touhill, ancien responsable fédéral de la sécurité de l'information. Même une fois qu'ils ont eu accès par la porte arrière d'Orion, connue sous le nom de Sunburst, ils se sont déplacés lentement et délibérément. Au lieu d'infiltrer de nombreux systèmes à la fois, ce qui aurait facilement pu éveiller les soupçons, ils se sont concentrés sur un petit ensemble de cibles sélectionnées, selon un rapport de la société de sécurité FireEye.
Sunburst est resté silencieux jusqu'à deux semaines complètes avant de se réveiller et de commencer à communiquer avec les pirates, selon le rapport. Le logiciel malveillant déguise son trafic réseau en programme d'amélioration Orion et stocke les données dans des fichiers légitimes afin de mieux s'y fondre. Il recherche également des outils de sécurité et antivirus sur la machine infectée afin de les éviter.
Pour couvrir davantage leurs traces, les pirates ont pris soin d'utiliser des ordinateurs et des réseaux pour communiquer avec la porte dérobée d'une cible donnée une seule fois, ce qui équivaut à utiliser un téléphone à graver pour une conversation illicite. Ils ont fait un usage limité des logiciels malveillants car ils sont relativement faciles à repérer ; au lieu de cela, une fois qu'ils avaient eu un accès initial par la porte dérobée, ils avaient tendance à opter pour la voie plus silencieuse consistant à utiliser de véritables informations d'identification volées pour accéder à distance aux machines d'une victime. Et les logiciels malveillants qu'ils ont déployés ne réutilisent pas le code, ce qui a rendu l'espionnage plus difficile à détecter car les programmes de sécurité recherchent le code qui s'est présenté lors de piratages précédents.
Mois non détectés
Les signes de la campagne d'intrusion remontent à mars, selon les rapports de sécurité de Microsoft et FireEye, qui ont révélé un lien enfreindre de ses propres réseaux la semaine dernière. Cela signifie que toute organisation qui soupçonne qu'elle pourrait avoir été une cible doit désormais parcourir au moins 10 mois de journaux système à la recherche d'activités suspectes, une tâche qui dépasse les capacités de nombreuses équipes de sécurité.
Histoire connexe
Les pirates informatiques russes qui sont intervenus en 2016 ont été repérés en train de cibler les élections américaines de 2020 La Russie, la Chine et l'Iran ont été surpris en train de mener un cyberespionnage lié à la course présidentielle américaine.Pour aider les entreprises à déterminer si leurs systèmes ont été piratés, FireEye et Microsoft ont publié une longue liste d'indicateurs de compromission, c'est-à-dire des données médico-légales qui pourraient montrer des preuves d'activités malveillantes. Les indicateurs incluent la présence de Sunburst lui-même, ainsi que certaines des adresses IP identifiant les ordinateurs et les réseaux que les pirates ont utilisés pour communiquer avec lui. Si une équipe trouve l'une de ces adresses IP dans ses journaux réseau, c'est un vrai signe de mauvaise nouvelle. Mais comme les pirates n'ont utilisé chaque adresse qu'une seule fois, leur absence n'est pas une garantie de sécurité. La découverte qu'ils résident sur un réseau ne signifie pas non plus qu'il est facile de les expulser avec succès, car ils peuvent parcourir le réseau à la recherche de nouvelles cachettes.
Les pirates présumés appartiennent au SVR russe, la principale agence de renseignement étrangère du pays. Connu alternativement sous le nom de Cozy Bear et APT29, ils ont compilé une longue liste d'infractions, y compris le pirater du Comité national démocrate en 2016. La Russie nie toute implication.
Cela leur a donné la possibilité de faire une porte dérobée dans les principaux réseaux, explique Touhill, qui est maintenant président d'Appgate Federal Group, une société d'infrastructure sécurisée. Ils ont la capacité de s'asseoir là, d'avaler tout le trafic, de l'analyser. Nous devons porter une attention particulière à ce que ces acteurs recherchent d'autre ? Où d'autre peuvent-ils être ? Où d'autre peuvent-ils se cacher? S'ils y ont accès, ils ne l'abandonnent pas facilement.