D'après le gouvernement américain, 30 % des victimes de l'opération massive de cyberespionnage attribuée à la Russie n'étaient pas clientes de SolarWinds. Autrement dit, dans près d'un tiers des cas, les hackers ont utilisé d'autres subterfuges que le désormais célèbre « Sunburst » pour compromettre leurs cibles.

Mi-décembre, FireEye rendait publique une infiltration sur son réseau informatique. Dans la foulée, plusieurs branches du gouvernement américain se découvraient également victimes d’une opération de cyberespionnage. Les enquêteurs commençaient alors à tirer sur le bout du fil d’une pelote de laine, et n’ont pas arrêté depuis.

Rapidement, le principal outil utilisé par les hackers a été identifié : un cheval de Troie, nommé Sunburst, capable d’ouvrir un accès au réseau des victimes. Les cyberespions étaient parvenus à planter discrètement ce malware dans Orion, un logiciel de gestion réseau édité par SolarWinds. Sur son site, l’entreprise se félicitait de compter parmi ses clients plusieurs branches du gouvernement américain et la majorité des plus grandes entreprises. Autant de victimes de Sunburst.

Les hackers n’avaient pas que Sunburst dans leur sac. // Source : CCO/Pxhere

En tout, plus de 18 000 clients de SolarWinds ont téléchargé la version vérolée du logiciel entre mars et juin 2020. Mais les hackers — russes, selon le gouvernement américain et plusieurs entreprises — n’ont exploité manuellement que quelques dizaines des portes ouvertes par Sunburst.

30 % des victimes n’utilisaient pas de logiciel de SolarWinds

Parmi les quelques victimes déclarées publiquement, certaines, comme Malwarebytes, n’étaient pas clientes de SolarWinds. Les cyberespions ont donc rusé : dans le cas de Malwarebytes, ils ont exploité une application vulnérable présente sur l’espace Microsoft Office 365 de l’entreprise pour accéder à certains échanges internes.

Dès lors, une évidence commençait à poindre à l’horizon : la compromission de SolarWinds ne serait que le symptôme visible d’une campagne d’espionnage d’une plus grande ampleur.

Ce 29 janvier, Brandon Wales, dirigeant du CISA, la branche cyber du gouvernement américain, a révélé au Wall Street Journal que 30 % des victimes de l’attaque ne sont pas clientes de SolarWinds. Autrement dit, la campagne de cyberespionnage s’étend bien au-delà de « l’affaire SolarWinds ». Les hackers ont aussi utilisé des méthodes plus simples et exploité d’autres vulnérabilités — connues et possiblement inconnues — pour atteindre leurs victimes. Le tout, avec un degré de discipline et de discrétion remarquable. « Cette campagne ne doit pas être pensée comme la campagne contre SolarWinds », confirme Wales au média américain.

L’opération d’espionnage n’est découverte que plus d’un an après son début

Résultats de ces attaques : certaines victimes ont été infiltrées avant même que SolarWinds ne déploie la version vérolée d’Orion, début 2020. D’ailleurs SolarWinds elle-même a été infiltrée en septembre 2019. Les hackers ont vraisemblablement pu espionner certaines de leurs victimes sans se faire remarquer pendant plus de 6 mois.

Ces nouvelles révélations ne font qu’accentuer le constat d’échec des autorités américaines, qui n’ont ni décelé Sunburst (particulièrement bien dissimulé par ailleurs) ni ces autres biais de compromission. De son côté, SolarWinds n’a pas fait mieux. Forbes a exposé qu’en septembre et octobre 2020, deux de ses clients spécialisés en cybersécurité, Cisco et Palo Alto Networks, l’ont averti chacun à leur tour d’un problème de sécurité. C’était avant que FireEye ne se déclare victime et identifie l’origine de l’attaque. SolarWinds avait alors mené deux enquêtes internes, coup sur coup, mais n’avait pas identifié les premiers signes de Sunburst. Un raté symbolique des prouesses techniques réalisées par les hackers.

Crédit photo de la une : CCO/Wikimedia

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux