On en apprend toujours plus à propos de la cyberattaque qui a affecté SolarWinds. En effet, les cyberpirates ont accédé aux systèmes internes de SolarWinds, à l’environnement Microsoft Office 365 et à l’environnement de développement logiciel neufs mois avant d’insérer du code de préparation en octobre 2019. Pendant cette période, ils ont mené des recherches et une réalisé surveillance via une porte dérobée et même exfiltré certaines informations rapporte CRN, qui s’appuie sur les propos du CEO de l’éditeur, Sudhakar Ramakrishna. « Il n’est pas rare que les acteurs de la menace soient dans des environnements cibles pendant plusieurs mois, voire plusieurs années », a écrit ce dernier sur un blog spécialisé publié vendredi. « Cela illustre les efforts déployés par les États-nations extérieurs pour atteindre leurs objectifs malveillants et la nécessité pour l’industrie et le secteur public de travailler ensemble pour protéger les systèmes et infrastructures critiques. »
Selon lui, les cyberpirates ont d’abord accédé aux comptes de messagerie internes de SolarWinds contenant des informations sur les salariés et les clients actuels ou anciens de l’entreprise. Il assure que la société identifie actuellement toutes les informations personnelles contenues dans ces e-mails et avertira toutes les parties prenantes de ses recherches.
Les attaquants ont également créé et déplacé des fichiers qui contenaient du code source pour les logiciels Orion mais aussi pour d’autres produits. Ils ont par ailleurs manipulé un fichier susceptible de contenir des informations clients (adresses mail, adresses de facturation), des codes de connexion au portail cryptées, des adresses IP de téléchargement de logiciels ainsi que des adresses MAC des serveurs Orion enregistrés.
Toujours selon le dirigeant, les hackers ont déplacé ces fichiers vers un serveur intermédiaire pour exfiltrer les informations sensibles hors de l’environnement SolarWinds plus facilement.
L’accès initial à l’environnement SlarWinds se serait fait via une vulnérabilité zero-day dans une application ou un appareil tiers, une attaque par force brute telle qu’une attaque par pulvérisation de mots de passe ou encore par une attaque d’ingénierie sociale, notamment par du phishing ciblé.
Toutes ces informations ressortent d’une enquête menée par CrowdStrike et KPMG, le premier assurant une surveillance continue des activités suspectes, le second analysant les journaux historiques du pare-feu, les journaux de contrôle d’accès et les événements SIEM de SolarWinds. « À l’heure actuelle, nous avons pratiquement achevé ce processus et nous pensons que l’acteur de la menace n’est plus actif dans nos environnements », indique Sudhakar Ramakrishna.
Sa société assure avoir pris toutes les dispositions nécessaires pour empêcher toute intrusion au travers d’une large éventail d’outils. Elle souhaite désormais « se positionner comme un modèle d’environnements logiciels, de processus de développement et de produits sécurisés ».
»