Applications /OS

Les pirates de SolarWinds ont fait irruption dans une entreprise de câblodistribution américaine et dans le comté d’Arizona: enregistrements Web


Des pirates informatiques russes présumés ont accédé aux systèmes d’un fournisseur d’accès Internet américain et d’un gouvernement de comté d’Arizona dans le cadre d’une vaste campagne de cyberespionnage révélée cette semaine, selon une analyse de documents Web accessibles au public.

Le piratage, qui a détourné un logiciel de gestion de réseau omniprésent créé par SolarWinds pour compromettre une série d’agences gouvernementales américaines et a été signalé pour la première fois par Reuters, est l’un des plus importants jamais découverts et a envoyé des équipes de sécurité à travers le monde se démener pour contenir les dégâts.

Les intrusions dans les réseaux de Cox Communications et du gouvernement local du comté de Pima, en Arizona, montrent qu’aux côtés des victimes, notamment les départements américains de la Défense, de l’État et de la Sécurité intérieure, les pirates ont également espionné des organisations moins prestigieuses.

Un porte-parole de Cox Communications a déclaré que la société travaillait « 24 heures sur 24 » avec l’aide d’experts en sécurité extérieurs pour enquêter sur les conséquences du compromis SolarWinds. «La sécurité des services que nous fournissons est une priorité absolue», a-t-il déclaré.

Dans des commentaires envoyés par e-mail à Reuters, le directeur de l’information du comté de Pima, Dan Hunt, a déclaré que son équipe avait suivi les conseils du gouvernement américain pour mettre immédiatement le logiciel SolarWinds hors ligne après la découverte du piratage. Il a déclaré que les enquêteurs n’avaient trouvé aucune preuve d’une autre violation.

Reuters a identifié les victimes en exécutant un script de codage publié vendredi par des chercheurs de la société de cybersécurité basée à Moscou Kaspersky pour décrypter les enregistrements Web en ligne laissés par les attaquants.

Le type d’enregistrement Web, connu sous le nom de CNAME, comprend un identifiant unique codé pour chaque victime et montre laquelle des milliers de « backdoors » à leur disposition les pirates ont choisi d’ouvrir, a déclaré le chercheur de Kaspersky Igor Kuznetsov.

«La plupart du temps, ces portes dérobées ne font que dormir», dit-il. « Mais c’est là que le vrai hack commence. »

Les enregistrements CNAME relatifs à Cox Communications et Pima County ont été inclus dans une liste de informations publiées par la société américaine de cybersécurité FireEye Inc, qui a été la première victime à découvrir et à révéler qu’elle avait été piratée.

John Bambenek, chercheur en sécurité et président de Bambenek Consulting, a déclaré qu’il avait également utilisé l’outil Kaspersky pour décoder les enregistrements CNAME publiés par FireEye et avait découvert qu’ils étaient connectés à Cox Communications et au comté de Pima.

Les archives montrent que les portes dérobées de Cox Communications et du comté de Pima ont été activées en juin et juillet de cette année, le pic de l’activité de piratage jusqu’à présent identifié par les enquêteurs.

Il n’est pas clair quelles informations, le cas échéant, ont été compromises.

SolarWinds, qui a révélé lundi son rôle involontaire au centre du piratage mondial, a déclaré que jusqu’à 18000 utilisateurs de son Orion le logiciel a téléchargé une mise à jour compromise contenant du code malveillant planté par les attaquants.

Alors que les retombées continuaient de secouer Washington jeudi, avec une violation confirmée au département américain de l’énergie, des responsables américains ont averti que les pirates avaient utilisé d’autres méthodes d’attaque et ont exhorté les organisations à ne pas supposer qu’elles étaient protégées si elles n’utilisaient pas les versions récentes du Logiciel SolarWinds.

Microsoft, qui était l’une des milliers d’entreprises à recevoir la mise à jour malveillante, a déclaré qu’elle avait actuellement notifié plus de 40 clients dont les réseaux étaient encore infiltrés par les pirates.

Environ 30 de ces clients se trouvaient aux États-Unis, a-t-il déclaré, les victimes restantes se trouvant au Canada, au Mexique, en Belgique, en Espagne, en Grande-Bretagne, en Israël et aux Émirats arabes unis. La plupart travaillaient dans des entreprises de technologie de l’information, ainsi que dans certains groupes de réflexion et organisations gouvernementales.

« Il est certain que le nombre et l’emplacement des victimes continueront d’augmenter », a déclaré le président de Microsoft Brad Smith dit dans un article de blog.

«L’installation de ce logiciel malveillant a permis aux attaquants de suivre et de choisir parmi ces clients les organisations qu’ils voulaient attaquer davantage, ce qu’ils ont fait de manière plus étroite et plus ciblée.

© Thomson Reuters 2020


Le MacBook Air M1 est-il la bête portable d’un ordinateur portable que vous avez toujours voulu? Nous en avons discuté sur Orbital, notre podcast technologique hebdomadaire auquel vous pouvez vous abonner via Podcasts Apple, Podcasts Google, ou RSS, télécharger l’épisode, ou appuyez simplement sur le bouton de lecture ci-dessous.

.



Source link

You may also like

Leave a reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *