Atlantic.Net fournit cet avis de sécurité sous la forme d'un article d'actualité ; nous voulons rassurer nos clients sur le fait qu'Atlantic.Net n'utilise aucun produit SolarWinds en interne ou dans aucune de nos offres de services.
Les entreprises, les organisations et les institutions gouvernementales sont sous le choc des retombées du piratage de SolarWinds. L'histoire de cette faille de sécurité de grande envergure a éclaté vers le 14 décembre 2020, et même maintenant, nous ne connaissons pas le plein impact de l'incident. Chaque jour, nous en apprenons davantage sur l'étendue de cette cyberattaque sans précédent sur la chaîne d'approvisionnement.
Ce que nous savons, c'est qu'en mars 2020, des pirates ont échoué sur l'infrastructure informatique de SolarWinds et ont pris le contrôle des serveurs de gestion de contenu de SolarWinds. En avril 2020, les acteurs malveillants ont intégré des logiciels malveillants sophistiqués dans des mises à jour SolarWinds « authentiques » signées numériquement.
Les mises à jour concernées étaient les mises à jour automatisées que les ordinateurs clients recherchent lors du téléchargement de correctifs de sécurité et de correctifs pour les applications Orion de SolarWinds. Cette pratique de mise à jour logicielle largement reconnue est utilisée par d'innombrables entreprises technologiques à travers le monde.
Pour les clients SolarWinds qui ont téléchargé et installé la mise à jour empoisonnée, les pirates ont utilisé la mise à jour compromise pour injecter une charge utile de logiciel malveillant appelée SUNBURST dans les serveurs clients compromis. Le malware est apparemment resté inactif pendant environ 2 semaines, susceptible d'échapper à la détection, avant d'être activé par un site de commande et de contrôle (C2) utilisant des sous-domaines collectés par le malware.
Les experts en sécurité pensent que le logiciel malveillant est resté inactif d'avril à juillet 2020, se cachant à la vue de tous, et beaucoup pensent que cette période a été utilisée pour la reconnaissance des cibles par les acteurs de la menace afin d'identifier les cibles les plus importantes. Bien que nous ne sachions pas quelles données ont été compromises, nous savons que les données d'Office 365 ont probablement été piratées, potentiellement à partir de OneDrive, de documents Word, de sites Sharepoint, etc.
La liste des victimes de haut niveau s'allonge de jour en jour. Certains des plus grands noms de la technologie et du gouvernement sont connus pour avoir été violés. De nombreux experts en sécurité pensent que l'attaque a été orchestrée par la Russie, un point de vue soutenu par une déclaration conjointe publiée par le FBI, la CISA, l'ODNI et la NSA affirmant que les mauvais acteurs étaient probablement russes.
La CISA était tellement préoccupée par la violation que le 14 décembre, elle a ordonné que tous les systèmes gouvernementaux non militaires exécutant le logiciel SolarWinds Orion soient arrêtés et déconnectés du réseau.
Qu'est-ce qu'une attaque de la chaîne d'approvisionnement ?
Une attaque de la chaîne d'approvisionnement est un incident de sécurité qui se produit lorsqu'un acteur malveillant s'infiltre dans le système d'une cible en exploitant un partenaire ou un fournisseur de services extérieur pour obtenir un accès non autorisé aux systèmes et aux fichiers de données de la cible.
Les entreprises mondiales sont plus connectées que jamais dans l'histoire. Le cloud computing et Internet ont fourni les outils permettant aux entreprises de partager rapidement de grandes quantités de données commerciales confidentielles. En règle générale, les entreprises achètent des logiciels et du matériel les unes aux autres pour améliorer leurs propres offres à leurs clients. Dans cette attaque de la chaîne d'approvisionnement, des entreprises, des organisations mondiales et des institutions gouvernementales américaines ont acheté le système de gestion de réseau SolarWinds Orion pour obtenir des informations sur leurs réseaux.
Les vraies victimes du piratage ne sont pas SolarWinds, mais les 18 000 clients qui ne s'attendaient pas à être victimes d'un piratage sophistiqué sur lequel ils n'avaient aucun contrôle, un piratage qui pourrait s'avérer être la plus grande cyberattaque de l'histoire et une attaque qui peut entraîner des changements spectaculaires en matière de cybersécurité.
Une attaque de la chaîne d'approvisionnement ouvre grand les contrôles de cybersécurité. Les victimes suivaient les meilleures pratiques en matière de cybersécurité en s'assurant que leurs plateformes étaient mises à jour avec la dernière version ; ils ne savaient pas que leur fournisseur de technologie, SolarWinds, avait été infiltré par des équipes de piratage russes présumées qui avaient empoisonné les mises à jour pour infecter l'ensemble de la chaîne d'approvisionnement.
Qui a été ciblé dans l'attaque de la chaîne d'approvisionnement ?
Notre image de ce piratage change tout le temps au fur et à mesure que l'histoire se déroule, et nous ne connaîtrons peut-être pas toute l'étendue du piratage avant de nombreux mois à venir. Mais nous savons que le gouvernement américain a été considérablement touché. Selon certaines informations, le Trésor américain, le Département d'État américain, la CISA et le DOE ont été ciblés.
Bien que les détails exacts ne soient pas connus, une théorie est que chaque bureau gouvernemental a utilisé Office 365 et Exchange pour le courrier électronique et que les clés partagées pour Azure Active Directory ont été compromises, permettant potentiellement aux attaquants de se faire passer pour de véritables utilisateurs pour accéder aux systèmes de messagerie et aux bibliothèques de documents. .
Cette théorie est étayée par des déclarations publiées par le ministère de la Justice selon lesquelles « cette activité impliquait l'accès à l'environnement de messagerie Microsoft O365 du ministère » et « le nombre de boîtes aux lettres O365 potentiellement accessibles semble limité à environ 3 % et nous n'avons aucune indication que des systèmes classifiés ont été impactés."
Parmi les nombreux géants de la technologie ciblés, nous savons que parmi les victimes figuraient la centrale de mise en réseau Cisco Systems, le fabricant de processeurs Intel, les fabricants de GPU Nvidia Corp. et les poids lourds de la technologie VMware, Microsoft et Belkin. Sans aucun doute, de nombreuses autres entreprises ont été touchées, mais il faudra des semaines ou des mois avant que le tableau complet ne soit connu.
Si votre entreprise est préoccupée par la cybersécurité, n'hésitez pas à contacter Atlantic.Net. Nous sommes des spécialistes des services gérés, de l'hébergement cloud et de la conformité HIPAA. La sécurité de notre infrastructure est d'une importance primordiale, et nous travaillons dur pour nous assurer que nous avons les meilleurs processus de sécurité en place.
Cette cyberattaque restera dans l'histoire comme l'une des pires, et nous nous inquiétons pour nos amis de l'industrie qui pourraient en être affectés. Les clients de SolarWinds n'ont rien fait de mal; ils ont acheté une suite de gestion de serveur à la pointe de l'industrie auprès d'une entreprise réputée, et maintenant, en raison d'une incompétence inconnue en matière de sécurité, chaque client a été mis en danger sans faute de sa part. Contactez-nous dès aujourd'hui.