SUNBURST : la cyberattaque contre SolarWinds aurait débuté en octobre 2019
Le 17 décembre 2020 à 08h46
2 min
Internet
Internet
En début de semaine, une cyberattaque de grosse envergure était dévoilée. Des pirates auraient falsifié des mises à jour de la plateforme Orion de SolarWinds, qui a des clients gouvernementaux, de l'armée et des services de renseignement.
La société déclarait que des mises à jour entre mars et juin avaient peut-être été corrompues via une « attaque de la chaîne d'approvisionnement très sophistiquée, ciblée et manuelle, par un État-nation ».
Selon un nouveau rapport cité par The Hacker News, les pirates auraient compromis la plateforme de SolarWinds dès octobre 2019 : « Alors que la première version contaminée d’Orion remonte à la 2019.4.5200.9083, ReversingLabs a constaté qu'une version antérieure 2019.4.5200.8890, publiée en octobre 2019, comprenait également des modifications apparemment inoffensives, qui ont servi de tremplin pour la véritable attaque ».
Il s’agirait en quelque sorte d’une répétition générale histoire de voir si les modifications ajoutées subrepticement étaient bien présentes dans les mises à jour déployées aux partenaires de SolarWinds.
Le 17 décembre 2020 à 08h46
Commentaires (7)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/12/2020 à 09h08
Security researcher Vinoth Kumar told Reuters that, last year, he alerted the company that anyone could access SolarWinds’ update server by using the password “solarwinds123”.
La confiance dans cette boîte me paraît surestimée.
Le 17/12/2020 à 11h29
Bon il semblerait que Microsoft ait réagi de leur côté:
https://www.bleepingcomputer.com/news/security/fireeye-microsoft-create-kill-switch-for-solarwinds-backdoor/
Le 17/12/2020 à 12h40
C’est que ce j’ai lu aussi. L’attaque sophistiquée a démarrée sur une grosse #$*!@& de l’éditeur…
A noter qu’heureusement que FireEye s’est fait pirater, sinon on ne saurait peut-être encore rien de cette affaire…
Le 17/12/2020 à 13h15
Assez fou cette histoire. Les pirates ont-il volé les certificats, accédé au stockage pour remplacer les mises à jours et ont contourné les systèmes de vérifications d’intégrité des fichiers, ou ils ont remplacé du code avant compilation ?
Le 17/12/2020 à 14h20
avant compil à priori.
Le 17/12/2020 à 16h23
En effet : The digitally signed updates were posted on the SolarWinds website from March to May 2020.
La liste des clients touchés est également impressionnante.
Le 18/12/2020 à 08h08
les attaques via supply chain sont relativement complexes à mener, mais quand ça marche c’est une véritable tuerie. cf notpetya