Internet & securité

Les pirates de SolarWinds liés à des outils d’espionnage russes connus, disent les enquêteurs


Le groupe à l’origine d’une campagne mondiale de cyber-espionnage a découvert le mois dernier un code informatique malveillant avec des liens vers des outils d’espionnage précédemment utilisés par des pirates informatiques russes présumés, ont déclaré lundi des chercheurs.

Enquêteurs d’une entreprise de cybersécurité basée à Moscou Kaspersky a déclaré que la « porte dérobée » permettait de compromettre jusqu’à 18 000 clients du fabricant de logiciels américain SolarWinds ressemblait étroitement à un logiciel malveillant lié à un groupe de piratage connu sous le nom de «Turla», qui, selon les autorités estoniennes, opère au nom du service de sécurité du FSB russe.

Les résultats sont les premières preuves accessibles au public pour étayer les affirmations des États-Unis selon lesquelles la Russie a orchestré le piratage, qui a compromis une série d’agences fédérales sensibles et fait partie des cyberopérations les plus ambitieuses jamais divulguées.

Moscou a nié à plusieurs reprises ces allégations. Le FSB n’a pas répondu à une demande de commentaire.

Costin Raiu, responsable de la recherche et de l’analyse mondiales chez Kaspersky, a déclaré qu’il y avait trois similitudes distinctes entre la porte dérobée de SolarWinds et un outil de piratage appelé « Kazuar » qui est utilisé par Turla.

Les similitudes comprenaient la façon dont les deux logiciels malveillants tentaient de masquer leurs fonctions aux analystes de sécurité, la façon dont les pirates informatiques identifiaient leurs victimes et la formule utilisée pour calculer les périodes pendant lesquelles les virus dormaient afin d’éviter la détection.

« Une de ces conclusions pourrait être rejetée », a déclaré Raiu. « Deux choses me font définitivement hausser les sourcils. Trois est plus qu’une coïncidence. »

Attribuer des cyber-attaques en toute confiance est extrêmement difficile et semé d’embûches possibles. Lorsque des pirates informatiques russes ont perturbé la cérémonie d’ouverture des Jeux olympiques d’hiver en 2018, par exemple, ils ont délibérément imité un groupe nord-coréen pour tenter de détourner le blâme.

Raiu a déclaré que les indices numériques découverts par son équipe n’impliquaient pas directement Turla dans le compromis SolarWinds, mais montraient qu’il y avait un lien encore à déterminer entre les deux outils de piratage.

Il est possible qu’ils aient été déployés par le même groupe, a-t-il dit, mais aussi que Kazuar a inspiré les pirates de SolarWinds, les deux outils ont été achetés au même développeur de logiciels espions, ou même que les attaquants ont planté des «faux drapeaux» pour tromper les enquêteurs.

Les équipes de sécurité aux États-Unis et dans d’autres pays travaillent toujours pour déterminer l’étendue complète du piratage SolarWinds. Les enquêteurs ont déclaré que cela pourrait prendre des mois pour comprendre l’étendue du compromis et même plus pour expulser les pirates des réseaux de victimes.

Les agences de renseignement américaines ont déclaré que les pirates étaient « probablement d’origine russe » et ont ciblé un petit nombre de victimes de haut niveau dans le cadre d’une opération de collecte de renseignements.

© Thomson Reuters 2020


Quel sera le lancement technologique le plus excitant de 2021? Nous en avons discuté sur Orbital, notre podcast technologique hebdomadaire auquel vous pouvez vous abonner via Podcasts Apple, Podcasts Google, ou RSS, télécharger l’épisode, ou appuyez simplement sur le bouton de lecture ci-dessous.

.



Source link

You may also like

Leave a reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *