211service.com
La récupération du piratage de SolarWinds pourrait prendre 18 mois
Jorge Acala/Unsplash
Se remettre complètement du piratage de SolarWinds prendra au gouvernement américain d'un an à 18 mois, selon le chef de l'agence qui dirige la reprise de Washington.
La campagne de piratage contre les agences gouvernementales américaines et les grandes entreprises a été découverte pour la première fois en novembre 2020. Au moins neuf agences fédérales ont été ciblées, dont le Département de la sécurité intérieure et le Département d'État. Les attaquants, que les responsables américains pensent être russes, ont exploité un produit fabriqué par la société américaine de logiciels SolarWinds afin de pirater des cibles gouvernementales et commerciales.
Brandon Wales, directeur par intérim de la CISA, l'agence américaine de cybersécurité et d'infrastructure, a déclaré qu'il faudra attendre 2022 avant que les responsables n'aient entièrement sécurisé les réseaux gouvernementaux compromis. Même comprendre pleinement l'étendue des dégâts prendra des mois.
Je n'appellerais pas cela simple, dit Wales. Il y a deux phases de réponse à cet incident. Il y a l'effort de remédiation à court terme, où nous cherchons à supprimer l'adversaire du réseau, en fermant les comptes qu'il contrôle et en fermant les points d'entrée que l'adversaire utilisait pour accéder aux réseaux. Mais étant donné le temps qu'ils ont passé à l'intérieur de ces réseaux – des mois – la récupération stratégique prendra du temps.
'Compte tenu du temps qu'ils ont passé à l'intérieur de ces réseaux… la récupération stratégique prendra du temps.'
Brandon Wales, CISA
Lorsque les pirates ont réussi si bien et pendant si longtemps, la réponse peut parfois être une reconstruction complète à partir de zéro. Les pirates ont tenu à saper la confiance dans les réseaux ciblés, à voler des identités et à obtenir la possibilité de se faire passer pour ou de créer des utilisateurs apparemment légitimes afin d'accéder librement aux comptes Microsoft 365 et Azure des victimes. En prenant le contrôle de la confiance et de l'identité, les pirates deviennent d'autant plus difficiles à suivre.
La plupart des agences qui traversent ce niveau de reconstruction prendront environ 12 à 18 mois pour s'assurer qu'elles mettent en place les protections appropriées, a déclaré Wales.
Les agences de renseignement américaines affirment que les pirates russes se sont infiltrés pour la première fois en 2019. Une enquête ultérieure a montré que les pirates ont commencé à utiliser les produits de la société pour distribuer des logiciels malveillants en mars 2020, et leur première violation réussie du gouvernement fédéral américain est survenue au début de l'été. C'est beaucoup de temps pour passer inaperçu, plus longtemps que de nombreuses organisations conservent le type de journaux médico-légaux coûteux dont vous avez besoin pour effectuer le niveau d'enquête requis pour détecter les pirates.
SolarWinds Orion, le produit de gestion de réseau ciblé, est utilisé dans des dizaines de milliers d'entreprises et d'agences gouvernementales. Plus de 17 000 organisations ont téléchargé la porte dérobée infectée. Les pirates étaient extrêmement furtifs et précis dans leur ciblage, c'est pourquoi il a fallu si longtemps pour les attraper et pourquoi il faut si longtemps pour comprendre leur plein impact.
La difficulté de découvrir l'étendue des dégâts a été résumée par Brad Smith, le président de Microsoft, lors d'une audience au Congrès la semaine dernière.
Qui sait l'intégralité de ce qui s'est passé ici ? il a dit. À l'heure actuelle, l'attaquant est le seul à savoir l'intégralité de ce qu'il a fait.
Kevin Mandia, PDG de la société de sécurité FireEye, qui a déclenché les premières alertes concernant l'attaque, a déclaré au Congrès que les pirates donnaient la priorité à la furtivité avant tout.
La perturbation aurait été plus facile que ce qu'ils ont fait, a-t-il dit. Ils avaient ciblé et discipliné le vol de données. Il est plus facile de tout supprimer dans un traumatisme contondant et de voir ce qui se passe. Ils ont en fait fait plus de travail que ce qu'il aurait fallu pour devenir destructeur.
'Cela a une doublure argentée'
CISA a entendu parler d'un problème pour la première fois lorsque FireEye a découvert qu'il avait été piraté et a informé l'agence. La société travaille régulièrement en étroite collaboration avec le gouvernement américain, et bien qu'elle n'ait pas été légalement obligée de parler du piratage à qui que ce soit, elle a rapidement partagé la nouvelle du compromis avec des réseaux d'entreprise sensibles.
C'est Microsoft qui a dit au gouvernement américain que les réseaux fédéraux avaient été compromis. La société a partagé ces informations avec le Pays de Galles le 11 décembre, a-t-il déclaré dans une interview. Microsoft a observé les pirates informatiques s'introduire dans le cloud Microsoft 365 utilisé par de nombreuses agences gouvernementales. Un jour plus tard, FireEye a informé CISA de la porte dérobée de SolarWinds, un outil peu connu mais extrêmement répandu et puissant.
Cela indiquait que l'ampleur du piratage pourrait être énorme. Les enquêteurs de la CISA ont fini par travailler tout au long des vacances pour aider les agences à traquer les pirates dans leurs réseaux.
Ces efforts ont été rendus encore plus compliqués car le Pays de Galles venait tout juste de prendre le relais de l'agence : quelques jours plus tôt, l'ancien directeur Chris Krebs avait été licencié par Donald Trump pour avoir démystifié à plusieurs reprises la désinformation de la Maison Blanche sur une élection volée.
Histoire connexe
Après que Trump a limogé le directeur de la CISA, l'agence est sur le point de devenir encore plus puissante Un licenciement dramatique par tweet ne modifie guère le soutien bipartite pour en faire la principale agence de cybersécurité du pays.Alors que les gros titres sur le limogeage de Krebs se concentraient sur l'impact immédiat sur la sécurité des élections, le Pays de Galles avait beaucoup plus entre les mains.
Le nouveau responsable de CISA est maintenant confronté à ce qu'il décrit comme l'incident de piratage le plus complexe et le plus difficile auquel l'agence ait été confrontée.
Le hack sera presque certainement accélérer la montée déjà apparente de CISA en augmentant son financement, son autorité et son soutien.
La CISA a récemment reçu l'autorité légale de rechercher de manière persistante les cybermenaces dans l'ensemble du gouvernement fédéral, mais le Pays de Galles affirme que l'agence manque de ressources et de personnel pour mener à bien cette mission. Il soutient que la CISA doit également être en mesure de déployer et de gérer des systèmes de détection des terminaux sur les ordinateurs de l'ensemble du gouvernement fédéral afin de détecter les comportements malveillants. Enfin, soulignant le fait que les pirates se déplaçaient librement dans le cloud Microsoft 365, Wales déclare que la CISA doit pousser pour plus de visibilité dans l'environnement cloud afin de détecter le cyberespionnage à l'avenir.
Au cours de la dernière année, les partisans de la CISA ont fait pression pour qu'elle devienne la principale agence de cybersécurité du pays. Une catastrophe de cybersécurité sans précédent pourrait s'avérer être le catalyseur dont elle a besoin.
Cela a une doublure argentée, a déclaré Mark Montgomery, qui a été directeur exécutif de la Cyberspace Solarium Commission, lors d'un appel téléphonique. Il s'agit de l'un des actes de cybermalveillance les plus importants jamais menés contre le gouvernement américain. L'histoire continuera de s'aggraver pendant plusieurs mois à mesure que l'on comprendra mieux ce qui s'est passé. Cela aidera à concentrer l'administration entrante sur cette question. Ils ont beaucoup de priorités, il serait donc facile pour le cyber de se perdre dans le fouillis. Cela n'arrivera pas maintenant.