Posté le décembre 18, 2020 à 16:38
MICROSOFT A DÉCOUVERT UN LOGICIEL MALVEILLANT DANS SON SYSTÈME
Microsoft a révélé avoir découvert une version malveillante du logiciel SolarWinds dans son système, mais ne pense pas que des hackers aient utilisé son système pour attaquer les utilisateurs.
Selon les rapports, la version malveillante a été implantée par des hackers russes présumés qui ont lancé des attaques sur plusieurs agences gouvernementales américaines.
Ils ont profité de l’utilisation répandue des logiciels de gestion de réseau de SolarWinds.
Le porte-parole de Microsoft a commenté la situation et a déclaré que le logiciel malveillant a été isolé et supprimé.
« Nous pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants dans notre environnement, que nous avons isolés et supprimés », a souligné le porte-parole.
Orion est un logiciel de gestion de réseau populaire conçu par SolarWinds. Il est utilisé par un grand nombre d’entreprises, dont la société américaine Redmond.
Les attaquants tirent parti des services cloud
Selon des sources proches de la situation de Microsoft, le géant technologique a également des produits qui ont un effet de levier dans l’attaque sur les victimes. Et hier, la NSA (National Security Agency) a publié un avis en fournissant des détails sur l’infiltration d’un service de cloud Microsoft Azure par des hackers. Les acteurs malveillants utilisent ce service pour dire aux utilisateurs d’éteindre leurs systèmes.
Une source proche a également révélé que les acteurs malveillants pourraient utiliser les offres cloud de Microsoft et échapper à l’infrastructure de sécurité de l’entreprise.
Microsoft a été contacté pour obtenir une réponse sur la technique utilisée par les hackers, mais elle n’a pas répondu.
Mais une autre source proche connaissant bien la situation a déclaré que Microsoft n’est probablement pas la principale cible en tant que vecteur de nouvelles infections par des logiciels malveillants. La source a également déclaré que le Département de la sécurité intérieure (DHS) est également de cet avis.
Le DHS et Microsoft ont immédiatement lancé une enquête sur cette affaire, qui est toujours en cours.
Par ailleurs, le FBI et d’autres agences de sécurité auront une réunion d’urgence avec des membres du Congrès pour discuter de la question et d’autres problèmes de cybersécurité plus tard dans la journée.
Le logiciel malveillant ne nuit pas à la sécurité nationale des États-Unis
Le département américain de l’énergie a également révélé que les acteurs malveillants auraient pu accéder à son réseau au cours de la campagne de piratage.
Une porte-parole du département américain de l’énergie a révélé que le logiciel malveillant n’a pas d’impact sur la NSA ou la sécurité nationale des États-Unis, car il a été isolé dans le réseau des entreprises.
Selon le DHS, outre la corruption du logiciel de gestion de réseau de SolarWind, les acteurs malveillants ont également utilisé d’autres méthodes.
La CISA a affirmé que les acteurs malveillants n’ont pas eu d’impact sur toutes les organisations qu’ils ont pu infiltrer. Elle a également dit aux enquêteurs de ne pas conclure que les organisations étaient en sécurité si elles n’avaient pas déployé les versions récentes du logiciel SolarWinds.
La meilleure chose à faire maintenant, selon la CISA, est d’installer les dernières mises à jour du logiciel SolarWinds.
L’agence a également révélé qu’elle est toujours en train d’analyser les autres stratégies utilisées par les attaquants. Grâce à cette analyse, la CISA a découvert que les acteurs malveillants sont connus pour leur capacité à surveiller le courrier électronique et d’autres données provenant d’organisations gouvernementales américaines, notamment la sécurité intérieure et le commerce, le département du Trésor, ainsi que les départements américains de la défense.
Selon le rapport, 18 000 clients d’Orion ont déjà téléchargé le logiciel malveillant contenant la porte dérobée. Depuis que la campagne de piratage a été découverte, les sociétés de logiciels ont cessé de traiter les informations en utilisant les portes dérobées contrôlées par les hackers.
Mais la CISA a déclaré que les hackers ont peut-être trouvé un autre moyen de maintenir l’accès.
Les attaquants ont pris soin de cacher les fichiers journaux
La CISA et certaines entreprises de sécurité comme FireEye ont publié des indices qui aideront les organisations à détecter si leurs systèmes sont également touchés.
Cependant, les hackers ont été prudents dans leurs actions. Ils ont supprimé des empreintes électroniques ou des journaux qui auraient permis de retracer l’infiltration. Il est donc encore plus difficile de détecter ce qui a été touché.
Entre-temps, certaines organisations ont déclaré qu’il n’y avait aucun indice qu’elles étaient infectées, mais cela ne signifie pas qu’elles sont en sécurité, faute de preuves. Certaines de ces organisations peuvent avoir été affectées, mais les hackers ont soigneusement effacé les journaux.
Les membres du Congrès se réuniront aujourd’hui pour demander des détails sur la situation et sur ce qui a pu être touché.