Kaspersky trouve les preuves d'une probable implication de la Russie
En effet, lors du piratage du logiciel SolarWinds, certains des secrets les plus profondément enfouis des États-Unis ont peut-être été volés. Quels types de données les pirates informatiques ont-ils pu drainer pendant tout ce temps ? Des secrets nucléaires ? Des données sur le vaccin Covid-19 ? Des plans pour la prochaine génération de systèmes d'armes ? L'ombre plane toujours sur la véritable nature des données compromises, et il faudra encore des semaines, voire des années dans certains cas, pour que les détectives numériques passent au peigne fin les réseaux du gouvernement américain et de l'industrie privée pour obtenir les réponses.
Dans une déclaration commune la semaine dernière, le FBI, la NSA, l'Agence de cybersécurité et de sécurité des infrastructures et le Bureau du directeur du renseignement national ont déclaré avoir identifié "moins de 10" agences fédérales américaines comme ayant été potentiellement compromises. Seuls les départements américains du Commerce, de l'Énergie et du Trésor ont reconnu avoir été piratés, aux côtés de sociétés telles que Microsoft et la société de cybersécurité FireEye.
Selon les experts, ces pirates informatiques sont des professionnels accomplis qui savent brouiller les pistes. Certains vols peuvent ne jamais être détectés. Randy Watkins, le directeur de la technologie de la société de cybersécurité Critical Start, basée au Texas, a déclaré que les objectifs des pirates peuvent être aussi bien financiers que le vol et la destruction de données. Ce qui semble clair, c'est que cette campagne, qui selon les experts en cybersécurité, présente les tactiques et les techniques de l'agence de renseignement russe SVR sera l'une des plus prolifiques dans les annales du cyberespionnage.
Ce lundi, les enquêteurs de Kaspersky ont déclaré que le groupe à l'origine de la campagne mondiale de cyberespionnage de SolarWinds a utilisé un code informatique malveillant avec des liens vers des outils d'espionnage utilisés auparavant par des pirates informatiques russes présumés. Selon ces chercheurs, la "porte dérobée" qui a été utilisée pour compromettre jusqu'à 1800 clients, y compris des agences gouvernementales américaines, du fabricant de logiciels américain ressemblait beaucoup à un logiciel malveillant lié au groupe de piratage informatique "Turla".
Les chercheurs Georgy Kucherin, Igor Kuznetsov et Costin Raiu concluent que la porte dérobée appelée "Sunburst" utilisée pour communiquer avec un serveur contrôlé par les pirates ressemblait à un autre outil de piratage appelé "Kazuar", qui avait été précédemment attribué à l'APT Turla (menace persistante avancée). Selon un rapport du Financial Time, les autorités estoniennes ont révélé il y a de cela deux ans que ce groupe opère au nom du service russe de sécurité FSB. Cependant, les enquêteurs de Kaspersky ont averti que les similitudes de code ne confirment pas que le groupe est derrière l'attaque de l'infrastructure de SolarWinds.
Toutefois, ces conclusions sont les premières preuves publiquement disponibles pour soutenir les affirmations des États-Unis selon lesquelles la Russie a orchestré le piratage, qui a compromis un ensemble d'agences fédérales sensibles et qui est parmi les cyberopérations les plus ambitieuses jamais divulguées. Moscou a nié ces allégations à plusieurs reprises et le FSB n'a pas répondu à une demande de commentaires. Costin Raiu, responsable de la recherche et de l'analyse mondiale chez Kaspersky, a déclaré qu'il y avait trois similitudes distinctes entre Sunburst et Kazuar de Turla.
Les similitudes comprennent la façon dont les deux logiciels malveillants ont tenté de cacher leurs fonctions aux analystes de sécurité, la façon dont les pirates ont identifié leurs victimes, et la formule utilisée pour calculer les périodes de dormance des virus afin d'éviter la détection. Il reste à déterminer s'il s'agit de coïncidence ou simplement de l'œuvre du groupe Turla. « Néanmoins, ce sont de curieuses coïncidences », a déclaré Raiu. « Une coïncidence ne serait pas si inhabituelle, deux coïncidences feraient définitivement sourciller, tandis que trois coïncidences de ce type nous semblent plutôt suspectes ».
Des choses restent à déterminer avant de confirmer l'implication de Turla
Les attaques de Turla ont été documentées depuis au moins 2008, lorsque le groupe était soupçonné d'avoir infiltré le commandement central américain. Plus tard, Turla a été impliqué dans des attaques contre des ambassades dans un certain nombre de pays, des ministères, des services publics, des prestataires de soins de santé et d'autres cibles. Plusieurs sociétés de cybersécurité ont déclaré qu'elles pensaient que l'équipe de piratage était russe, et un rapport des services de renseignement estoniens datant de 2018 indique que le groupe est "lié au service de sécurité fédéral, le FSB".
Ciaran Martin, ancien chef du NCSC (UK’s National Cyber Security Centre - Centre national de cybersécurité du Royaume-Uni) et maintenant professeur à l'école Blavatnik de l'Université d'Oxford, a déclaré que l'impact des découvertes de Kaspersky pourrait être important. « Certaines parties de l'État russe ne font que pirater à des fins d'espionnage ; d'autres ont un bilan plus sinistre d'attaques perturbatrices après un premier piratage. Il est donc très important de comprendre exactement quelle partie de la Russie est derrière SolarWinds », a-t-il déclaré.
« Je suis sûr que le gouvernement américain et ses partenaires examinent de très près toutes ces preuves », a-t-il ajouté, tout en précisant que jusqu'à présent, il n'y avait aucune preuve que le piratage de SolarWinds a été motivé par "autre chose que de l'espionnage". La porte dérobée Sunburst utilisée lors de la récente attaque a permis aux pirates de recevoir des rapports sur les ordinateurs infectés et de cibler ensuite ceux qu'ils jugeaient intéressants pour une exploitation ultérieure. La grande majorité des 18.000 machines infectées n'ont pas été référées pour une exploitation ultérieure, ce qui montre que l'attaque a été très ciblée.
Cela dit, malgré la forte ressemblance entre Sunburst et Kazuar, les chercheurs rappellent toujours qu'attribuer avec certitude les cyberattaques est extrêmement difficile et parsemé d'embûches possibles. Plusieurs points sont à éclaircir lors d'une cyberattaque avant de pouvoir l'imputer convenablement à un auteur. Par exemple, ils ont rappelé que lorsque les pirates informatiques russes ont perturbé la cérémonie d'ouverture des Jeux olympiques d'hiver en 2018, ils ont délibérément imité un groupe nord-coréen pour essayer de détourner les responsabilités.
Raiu estime que les indices numériques découverts par son équipe n'impliquaient pas directement Turla dans la compromission de SolarWinds, mais montraient qu'il y avait un lien encore à déterminer entre les deux outils de piratage. Selon lui, il est possible qu'ils aient été déployés par le même groupe, mais aussi que Kazuar ait inspiré les pirates de SolarWinds, que les deux outils aient été achetés auprès du même développeur de logiciels espions, ou même que les attaquants aient placé de "faux drapeaux" pour tromper les enquêteurs.
Les équipes de sécurité aux États-Unis et dans d'autres pays travaillent toujours pour déterminer l'étendue du piratage de SolarWinds, il faudra probablement plusieurs mois aux équipes de sécurité pour expulser les pirates des réseaux victimes.
Source : Kaspersky
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations. Ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus
Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage, mais son plan pour réduire les risques aurait été ignoré
La vaste campagne de piratage informatique a atteint Microsoft, qui qualifie la violation de la chaîne d'approvisionnement contre SolarWinds d'« acte d'imprudence »