in

Les États-Unis enquêtent sur une campagne présumée de cyberespionnage contre des agences gouvernementales datant de plusieurs mois

Il y avait des signes que l’impact pourrait s’étendre très largement non seulement au gouvernement, mais aussi au secteur privé.

Des pirates informatiques ont violé le département du commerce et auraient infiltré le département du Trésor et d’autres agences américaines, lors d’incidents que les responsables de la sécurité du gouvernement ont déclaré dimanche qu’ils se battaient pour contenir.

Il y avait des signes que l’impact pourrait s’étendre très largement non seulement au gouvernement, mais aussi au secteur privé. SolarWinds, fournisseur informatique de nombreuses agences gouvernementales et sociétés Fortune 500 qui compte plus de 300000 clients, a déclaré qu’il travaillait avec les forces de l’ordre, la communauté du renseignement et d’autres pour enquêter sur une vulnérabilité apparemment implantée dans sa chaîne d’approvisionnement par un État-nation.

La société de cybersécurité FireEye a déclaré avoir vu des signes de compromis, fournis via les mises à jour logicielles de SolarWinds, au sein du gouvernement et de l’industrie remontant au printemps dans ce que la société a appelé «Une campagne d’intrusion mondiale. »

«Nous avons jusqu’à présent été en mesure d’identifier les organisations touchées en Amérique du Nord, en Europe, en Asie et au Moyen-Orient», selon FireEye. «Ils ont fait partie du gouvernement, du conseil, de la technologie, des télécommunications, des soins de santé et de l’industrie pétrolière et gazière. Nous prévoyons que la liste des cibles concernées est beaucoup plus longue. »

Les agences américaines faisaient partie de celles aux prises avec des violations, bien que ces agences n’aient pas précisé qu’elles étaient liées à SolarWinds.

« Nous pouvons confirmer qu’il y a eu une brèche dans l’un de nos bureaux », a déclaré un porte-parole du département du Commerce. Le porte-parole a ajouté que le Commerce avait demandé à la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security « et au FBI d’enquêter, et nous ne pouvons pas en dire davantage pour le moment. »

Reuters a d’abord signalé que des pirates informatiques soutenus par des pays étrangers surveillent le trafic des e-mails à l’administration nationale des télécommunications et de l’information du département du Trésor et du département du commerce, et les attaquants ont apparemment utilisé des outils similaires pour violer d’autres agences.

«Le gouvernement des États-Unis est au courant de ces rapports et nous prenons toutes les mesures nécessaires pour identifier et résoudre les éventuels problèmes liés à cette situation», a déclaré John Ullyot, porte-parole du Conseil de sécurité nationale de la Maison Blanche.

La NTIA a été violée et les enquêteurs américains ont soupçonné que d’autres agences l’ont également été, a déclaré un responsable américain familier avec l’enquête. Le FBI est sur place pour répondre à la violation de la NTIA, et le Cyber ​​Command américain aide également à l’enquête, a ajouté le responsable.

«Nous travaillons en étroite collaboration avec nos agences partenaires concernant les activités récemment découvertes sur les réseaux gouvernementaux. CISA fournit une assistance technique aux entités concernées alors qu’elles s’efforcent d’identifier et d’atténuer tout compromis potentiel », a déclaré un porte-parole de CISA.

Le département du Trésor, a demandé des commentaires, a renvoyé CyberScoop à la déclaration du NSC.

Le Washington Post signalé pour la première fois que le groupe de piratage russe connu sous le nom d’APT29, ou Cozy Bear, était derrière la campagne. Les violations auraient été commises pour le compte de l’agence de renseignement russe SVR. Le même groupe de hackers est soupçonné d’être à l’origine de la brèche à FireEye, annoncée la semaine dernière.

SolarWinds a déclaré qu’il fonctionnait également avec FireEye. SolarWinds compte parmi ses clients plus de 425 entreprises du Fortune 500, ainsi que les départements de la Défense, de la Justice, du Trésor, des Anciens Combattants et plus encore.

«Nous sommes conscients d’une vulnérabilité potentielle qui, si elle est présente, serait actuellement liée aux mises à jour publiées entre mars et juin 2020 pour nos produits de surveillance Orion», a déclaré Kevin Thompson, président-directeur général de SolarWinds, dans un communiqué. «Nous pensons que cette vulnérabilité est le résultat d’une attaque de la chaîne d’approvisionnement très sophistiquée, ciblée et manuelle par un État-nation. Nous agissons en étroite coordination avec FireEye, le Federal Bureau of Investigation, la communauté du renseignement et d’autres forces de l’ordre pour enquêter sur ces questions. En tant que tel, nous sommes limités quant à ce que nous pouvons partager pour le moment. »

Dans un article de blog publié dimanche, FireEye a mis à jour le statut de son enquête sur les violations.

«Sur la base de notre analyse, nous avons maintenant identifié plusieurs organisations dans lesquelles nous voyons des indications de compromis remontant au printemps 2020, et nous sommes en train de notifier ces organisations», déclare le message. «Notre analyse indique que ces compromis ne s’auto-propagent pas; chacune des attaques nécessite une planification méticuleuse et une interaction manuelle. »

La campagne consiste à implanter un code malveillant dans le logiciel légitime SolarWinds Orion qui permet un accès à distance et à utiliser très peu de logiciels malveillants pour atteindre ses objectifs, a déclaré FireEye. Les attaquants déploient des «efforts considérables» pour effectuer une reconnaissance des patients et restent furtifs, en utilisant des outils «difficiles à attribuer». FireEye n’a pas encore blâmé un groupe spécifique, affirmant seulement que la société la croyait sophistiquée et ressemblait au travail des pirates des États-nations.

«S’il s’agit de cyberespionnage, c’est l’une des opérations de cyberespionnage les plus efficaces que nous ayons vues depuis un certain temps», a déclaré John Hultquist, directeur principal de l’analyse des menaces chez Mandiant Threat Intelligence de FireEye.

On ne sait pas si les violations de FireEye et du gouvernement américain sont liées.

 



Comments

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

ShareChat s’appuie sur l’IA pour élargir la base d’utilisateurs de langues régionales

Samsung Galaxy S21: des fuites montrent un appareil un cadre mince et l’écran plat