Posté le mars 20, 2021 à 12:54
UNE ENTREPRISE SUISSE DE CYBERSECURITÉ RÉVÈLE DES INFORMATIONS IMPORTANTES SUR LES HACKERS DE SOLARWINDS
La société de cybersécurité PRODAF, basée en Suisse, a déclaré qu’elle avait accès aux serveurs utilisés par le même groupe de hackers responsable de la violation de SolarWinds.
La société a révélé des détails importants sur la méthode opérationnelle des attaquants et sur les personnes qu’ils ont ciblées. L’équipe de sécurité a également déclaré que les acteurs malveillants ont poursuivi leurs activités de piratage en mars.
Les chercheurs de PRODAFT ont déclaré avoir réussi à pénétrer dans l’infrastructure informatique des hackers pour découvrir les preuves d’un cyber-espionnage de grande ampleur entre août dernier et mars de cette année. La campagne visait plusieurs organisations gouvernementales et entreprises aux États-Unis et en Europe.
Les chercheurs ont surnommé le groupe de hackers SilverFish, précisant que leur principal objectif est d’espionner les utilisateurs peu méfiants et de voler les données vitales de leurs systèmes.
La communauté de la cybersécurité reste sceptique quant à cette découverte
Les chercheurs n’ont toutefois pas établi de lien entre les acteurs malveillants et un quelconque groupe de hackers parrainé par un État. Mais ils ont déclaré que SilverFish se comportait comme un groupe APT (advanced persistent threat), considéré comme l’un des groupes de cyber-attaques les plus dangereux au monde, car il est souvent lié à des gouvernements.
Les chercheurs ont toutefois déclaré que des recherches supplémentaires étaient nécessaires pour établir l’identité réelle du groupe et l’ensemble de ses objectifs d’attaque.
Il n’est donc pas clair si le groupe de hackers a des liens avec la Chine ou la Russie, que les États-Unis et plusieurs entreprises de cybersécurité ont blâmée pour l’attaque de SolarWinds l’année dernière.
L’incident SolarWinds a été découvert en décembre après que des chercheurs en cybersécurité ont découvert que des hackers avaient implanté des codes malveillants dans le logiciel de la célèbre société SolarWinds Corp. basée au Texas. L’impact de l’attaque a été considérable, puisqu’elle a touché des centaines d’organisations qui utilisent le logiciel SolarWinds.
Cependant, seul un petit pourcentage de ce nombre a été touché, les rapports révélant que 9 agences gouvernementales américaines ont été affectées tandis que plus de 100 entreprises ont été touchées.
Malwarebytes est d’accord avec les découvertes de PRODAFT
PRODAFT a déclaré avoir établi une communication avec les responsables suisses de la cybersécurité concernant la dernière révélation de l’entreprise. Elle a toutefois refusé de commenter les informations qu’ils ont échangées, invoquant des raisons de sécurité. Le FBI et SolarWinds ont également été contactés, mais tous deux ont décliné toute demande de commentaire.
En décembre, Microsoft a révélé qu’un deuxième attaquant avait pu être impliqué dans la violation de SolarWinds. Mais la dernière révélation des chercheurs en sécurité de PRODAFT n’a pas été accueillie à bras ouverts par certains chercheurs en cybersécurité.
Nombre d’entre eux ont affirmé avoir la ferme conviction que l’attaque de décembre n’a été perpétrée par aucun autre groupe de cyberespionnage russe parrainé par le gouvernement russe.
Mais ils ont refusé de critiquer le rapport en public. Cependant, les chercheurs de Malwarebytes ont qualifié les découvertes de PRODAFT de « solides ».
Ils ont déclaré que d’autres groupes de cybermenaces pourraient avoir été impliqués dans l’attaque de SolarWinds, et la récente découverte de PRODAFT en est la confirmation.
Marcin Kleczynski, cofondateur et directeur général de Malwarebytes, a commenté la découverte d’autres groupes de hackers dans l’attaque de SolarWinds.
« La découverte de SilverFish renforce l’idée que plus d’un groupe a exploité SolarWinds », a-t-il déclaré. En outre, le rapport a fourni davantage d’informations sur les méthodes opérationnelles du groupe.
Les attaquants ont utilisé des outils sophistiqués
SilverFish a participé à un cyberespionnage « extrêmement sophistiqué » sur environ 4 720 cibles, dont des fournisseurs informatiques mondiaux, de grandes sociétés d’audit et de conseil, des institutions gouvernementales et des dizaines d’institutions bancaires dans l’UE et aux États-Unis. Les attaques ont également touché plusieurs sociétés pharmaceutiques et des compagnies aériennes aux États-Unis.
Les acteurs malveillants ont également utilisé des méthodes connues et inconnues pour attaquer leurs victimes, en dehors de la vulnérabilité du logiciel SolarWinds.
Les journalistes de PRODAFT ont affirmé que les hackers de SilverFish travaillaient comme des travailleurs ordinaires de 8 heures du matin à 8 heures du soir, du lundi au vendredi.
Les acteurs malveillants exploitaient également des serveurs en Ukraine et en Russie et partageaient certains de leurs serveurs avec Evil Corp, un tristement célèbre groupe de hackers russes.
PRODAFT a également déclaré que les hackers étaient très organisés dans leurs opérations de piratage. Ils étaient regroupés en quatre équipes : 304, 303, 302 et 301. Les hackers ont concentré leurs opérations sur les établissements gouvernementaux et les grandes multinationales telles que les entreprises Fortune 500.
Mais les hackers de SilverFish n’ont pas ciblé de victimes en Ouzbékistan, en Géorgie, en Ukraine et en Russie, selon les rapports. En outre, les chercheurs ont indiqué que les États-Unis étaient les plus touchés, avec environ 2 400 attaques enregistrées dans le seul pays.