Le groupe de hackers APT29, basé en Russie, également connu sous le nom de Cozy Bear, aurait infiltré un certain nombre d'agences américaines, dont le Département d'État, le Département de la Justice et le Pentagone, ainsi que la NASA et des milliers d'entreprises dans le monde entier. Selon les médias, le vecteur d'attaque utilisé est le même que celui qui a été utilisé récemment pour pirater le Société de sécurité Fireeye hacké était. Vers la chaîne d'information CNN Les autorités ont depuis confirmé l'attaque.
Le serveur de mise à jour distribue des logiciels malveillants
Selon un rapport de Fireeye le logiciel malveillant utilisé pour l'attaque a été distribué par Serveur en nuage du logiciel de surveillance et de gestion informatique Orion de Solarwinds. Les pirates ont intégré le malware dans une mise à jour du logiciel, qui a ensuite été installée par les entreprises et les autorités compromises.
Plusieurs mises à jour concernées
Selon M. Fireeye, l'attaque a commencé dès le printemps 2020, avec de multiples signatures et trojanisations Mises à jour et distribuées via les serveurs de Solarwinds.
En attendant, Fireeye a été sur GitHub Les signatures du malware appelé Sunburst ont été publiées, permettant à Snort, Yara, IOC et ClamAV de nettoyer les systèmes infectés.
Dans un StelAvis Solarwinds a également confirmé la propagation du malware Sunburst par ses serveurs de mise à jour. L'entreprise recommande à tous ses clients de mettre à jour leur plate-forme Orion dès que possible. Selon sa propre Détails Solarwinds compte plus de 300 000 clients dans le monde entier. Les victimes possibles du piratage comprennent donc non seulement les autorités américaines mais aussi des entreprises telles que Siemens, AT&T, Cisco, Mastercard et Microsoft.
En face de la Washington Post John Scott-Railton a déclaré que les dommages causés par l'attaque seront très probablement énormes. Dans le passé, APT29 a été l'un des groupes de piratage les plus agressifs.