Cyber-Security-News Le site de référence en termes de nouveauté en sécurité informatique
La semaine dernière, un rapport de Reuters a rapporté qu’un groupe de pirates informatiques soutenu par un gouvernement étranger avait mené une cyberattaque contre le Trésor américain et une partie du département américain du Commerce.
Des rapports ont signalé que l’attaque est très dangereuse; à tel point que cela a conduit à une réunion du Conseil de sécurité nationale à la Maison Blanche samedi. Un certain nombre d’agences fédérales ont participé aux enquêtes, notamment: Le Federal Bureau of Investigation (FBI).
Les rapports jusqu’à présent indiquent que la violation impliquait plusieurs agences gouvernementales américaines, et que cette violation pourrait être la plus grande violation des systèmes gouvernementaux depuis l’administration Obama, ou peut-être jamais auparavant.
Comment les pirates ont-ils pénétré de cette manière de nombreuses agences gouvernementales américaines?
Cela a commencé le 8 décembre, lorsque la société de cybersécurité (FireEye) a découvert que ses systèmes avaient été compromis, et la société a ensuite révélé que les pirates avaient infiltré la société de logiciels SolarWinds , puis publié une mise à jour contenant des logiciels malveillants pour la plate-forme Orion; Afin d’infecter les réseaux de nombreux réseaux et entreprises du gouvernement américain.
Le logiciel malveillant inclus dans les mises à jour de la plate-forme (Orion) – affiliée à (SolarWinds) – peut avoir permis aux pirates d’accéder à différents systèmes gouvernementaux pendant plusieurs mois, car les rapports initiaux indiquent que les violations ont commencé en mars.
SolarWinds déclare: «Elle compte plus de 300 000 clients dans le monde, dont les plus importants sont: l’armée américaine, le ministère de la Défense, le ministère de la Justice, le département d’État, le ministère du Commerce et du Trésor, et plus de 400 sociétés commerciales parmi les principales entreprises figurant sur la liste Fortune 500 .
Cependant, tous ses clients ne seront pas affectés par ce piratage; Parce que le piratage n’affecte que ceux qui utilisent la plate-forme (Orion), et dans ce groupe uniquement ceux qui ont installé des mises à jour contenant des logiciels malveillants.
«Il a informé environ 33 000 de ses clients – qui utilisent la plate-forme Orion – des risques posés par les mises à jour incluant des logiciels malveillants», a déclaré SolarWinds dans un rapport de la Securities and Exchange Commission des États-Unis. Mais la société a également déclaré dans son communiqué: Elle estime que le nombre réel de clients potentiellement exposés est inférieur à 18 000.
SolarWinds a maintenant publié des mises à jour qui corrigent la vulnérabilité et s’est excusé pour tout inconvénient.
Qui est le responsable de cette violation majeure ?
Selon des responsables proches du dossier, le groupe de hackers responsable de cette pénétration jusqu’à présent est un groupe de hackers associés aux services de renseignement russes, et ce groupe s’appelle (Cozy Bear), également connu sous le nom d’APT29, bien que la Russie ait nié toute implication dans cette affaire.
Ce groupe était également à l’origine de la pénétration du Comité national démocrate et des comptes rendus du personnel de campagne d’Hillary Clinton lors des élections américaines de 2016, ainsi que de la pénétration des réseaux de la Maison Blanche et du Département d’État en 2014.
Le groupe Cozy Bear serait également à l’origine des récentes attaques contre diverses organisations développant des vaccins contre le coronavirus (Covid-19).
L’ambassade de Russie a déclaré lundi dans un communiqué : « Les activités malveillantes dans le domaine de la cybersécurité sont incompatibles avec les principes de la politique étrangère russe, les intérêts nationaux et notre compréhension des relations entre les pays, et la Russie ne mène pas d’opérations offensives dans le domaine de la cybersécurité. »
Le gouvernement américain s’est jusqu’à présent abstenu de déclarer quoi que ce soit, et a seulement dit: « Ses services de sécurité enquêtent. » La Cyber Security and Infrastructure Security Agency (CISA) a publié la semaine dernière une directive d’urgence demandant aux agences civiles fédérales de séparer immédiatement les produits concernés de leurs réseaux.
Il a déclaré (John Ooluot) John Ullyot , porte – parole du Conseil national de sécurité dans un communiqué : « Le Conseil national de sécurité travaille en étroite collaboration avec l’ agence (CISA), le FBI et la communauté du renseignement, les départements et agences concernés pour déterminer les dégâts et coordonner le redressement rapide et efficace des agences gouvernementales , l’ ensemble ».
