Cela signifie qu’il existe en réalité trois sous-groupes parmi les victimes potentielles de ces attaques: les utilisateurs d’Orion qui ont installé la porte dérobée mais qui n’ont jamais été exploités autrement; les victimes qui avaient une activité malveillante sur leurs réseaux, mais qui n’étaient finalement pas des cibles attrayantes pour les attaquants; et des victimes qui étaient en fait profondément compromises parce qu’elles détenaient des données précieuses.

«S’ils n’ont pas exfiltré les données, c’est parce qu’ils n’en voulaient pas», déclare Jake Williams, ancien hacker de la NSA et fondateur de la société de sécurité Rendition Infosec. « S’ils n’y ont pas accès, c’est parce qu’ils ne s’y intéressaient pas. »

Solarwinds

Personne ne sait à quel point le piratage de piratage de la Russie va profondément

Même ainsi, ce premier et ce deuxième groupe doivent encore neutraliser la porte dérobée pour empêcher un accès futur. Puisqu’il a pu analyser les indicateurs de sa propre violation, FireEye a mené un effort auquel d’autres entreprises se sont jointes depuis pour publier des informations sur l’anatomie des attaques. Certains des «indicateurs de compromission» comprennent les adresses IP et les réponses d’enregistrement du service de noms de domaine associées à l’infrastructure malveillante des attaquants. Les intervenants et les victimes peuvent utiliser ces informations pour vérifier si des serveurs ou d’autres appareils sur leurs réseaux ont communiqué avec les systèmes des pirates. Microsoft a également travaillé avec FireEye et GoDaddy pour développer une sorte de « kill switch » pour la porte dérobée en prenant le contrôle des adresses IP avec lesquelles le malware communique, de sorte qu’il ne peut plus recevoir de commandes.

L’élimination de la porte dérobée est cruciale, d’autant plus que les attaquants l’exploitent toujours activement. Et maintenant que les détails techniques de leur infrastructure sont publics, il existe également un risque que d’autres pirates informatiques puissent également profiter de l’accès malveillant s’il n’est pas verrouillé.

Dans la maison

Pour les victimes qui ont subi un compromis plus profond, cependant, il ne suffit pas de fermer la porte, car les attaquants se sont déjà installés à l’intérieur.

Pour des cibles claires comme les agences gouvernementales américaines, la question est de savoir à quoi exactement les attaquants ont eu accès et quelle image plus globale ces informations peuvent brosser en termes de géopolitique, de capacités défensives et offensives américaines à travers le département de la Défense, les infrastructures critiques, etc.

Identifier exactement ce qui a été pris est difficile et prend du temps. Par exemple, certains rapports indiquent que des pirates informatiques ont violé des systèmes critiques de la National Nuclear Security Administration du ministère de l’Énergie, qui est responsable de l’arsenal d’armes nucléaires des États-Unis. Mais la porte-parole du DOE, Shaylyn Hynes, a déclaré dans un communiqué jeudi soir que si les attaquants ont accédé aux « réseaux d’affaires » du DOE, ils n’ont pas violé « les fonctions de sécurité nationale essentielles à la mission du Département ».

« L’enquête est en cours et la réponse à cet incident se déroule en temps réel », a déclaré Hynes.

Telle est la situation de toutes les victimes à ce stade. Certaines cibles continueront à découvrir qu’elles ont été touchées plus profondément qu’elles ne le croyaient initialement; d’autres peuvent trouver que les pirates ont donné des coups de pied dans les pneus mais ne sont pas allés plus loin. C’est le principal danger d’une attaque de la chaîne d’approvisionnement telle que la violation de SolarWinds. Les attaquants obtiennent un accès énorme en même temps et peuvent choisir les victimes pendant que les intervenants doivent rattraper leur retard.

Bien qu’il soit difficile d’établir toute l’étendue de la situation, les chercheurs ont déployé des efforts concertés pour déterminer qui a été touché et à quel point. En suivant et en liant les adresses IP, les enregistrements DNS et d’autres indicateurs d’attaquant, les analystes de sécurité développent même des méthodes pour identifier de manière proactive les cibles. Kaspersky Labs, par exemple, a publié vendredi un outil qui décode les requêtes DNS de l’infrastructure de commande et de contrôle des attaquants, ce qui pourrait aider à indiquer les cibles prioritaires des pirates.

La nouvelle de la frénésie de piratage se poursuivra probablement pendant des semaines, à mesure que de plus en plus d’organisations identifieront leur place dans la rubrique des cibles potentielles. Le président de Microsoft, Brad Smith, a écrit jeudi que la société avait informé plus de 40 clients des signes d’intrusion profonde sur leurs réseaux. Et Microsoft affirme que si la grande majorité de ces victimes se trouvent aux États-Unis, certaines se trouvent dans sept autres pays: le Canada, le Mexique, la Belgique, l’Espagne, le Royaume-Uni, Israël et les Émirats arabes unis. « Il est certain que le nombre et l’emplacement des victimes continueront d’augmenter », a ajouté Smith.

Plus tard dans la nuit, Microsoft a confirmé qu’il avait également été compromis dans la campagne.


Plus d’histoires WIRED