SolarWinds : Négligences et conséquences

L’attaque de l’entreprise Texane SolarWinds entre dans la catégorie des cyberattaques qui auront marqué la décennie.

Pourtant, depuis qu’elle a été portée à la connaissance du grand public, cette attaque informatique aurait peut-être évitée selon plusieurs observations. En effet, la société aurait été plusieurs fois alertée sur des vulnérabilités des années auparavant. L’on a même découvert qu’il y avait eu déjà une autre attaque informatique qui a précédé cette dernière.

On peut retenir que la négligence aurait été observé du côté de la société américaine, une négligence qui a facilité l’attaque informatique de son logiciel Orion.

Cet article va aussi vous intéresser : 3 points à retenir de l’attaque de SolarWinds

L’analyse du programme malveillant qui a infecté le logiciel de surveillance de réseau fourni par SolarWinds a permis de démontrer que ce malware se déplace très rapidement. Ce qui cause manifestement l’augmentation des nombres de victimes touchées par cette vague de cyberattaques. Parce que tous les jours nous découvrons une nouvelle victime ou une nouvelle facette de cette attaque informatique. « Le niveau d’infection et l’impact sur les systèmes du gouvernement américain sont particulièrement préoccupants. Pour rappel, une porte dérobée a été découverte dans le logiciel de surveillance et de gestion IT SolarWinds Orion. » explique Andy Patrizio, IDG

Par ailleurs, récemment un groupe de pirates informatiques ont mis en ligne un site baptisé SolarLeaks. Selon ces derniers, via cette plate-forme, il sera possible à tout intéressé de pouvoir avoir accès à des données provenant du piratage informatique initié depuis l’attaque de SolarWinds. Parmi les données qui peuvent être monétiser dans ces conditions, le code source de Microsoft ou encore de Cisco. Le prix pourrait varier dans les environs de 600 000 dollars. Les pirates commercialisent aussi à travers leurs plateformes les outils de la société de cybersécurité, FireEye, en particulier ceux de RedTeam montant pouvant s’élever jusqu’à 50 000.

L’ensemble de données qui a été récoltée lors de l’attaque informatique de SolarWinds et des entreprises associées sont vendu à peu près un million de dollars. Pourtant certains y voient un cyberfake.

En tenant compte de l’aspect du piratage, plusieurs spécialistes à la sécurité informatique ne croient pas à cette vente de données.

 « Cisco est au courant de l’existence de ce site Web et n’a aucune preuve pour le moment d’un vol de propriété intellectuelle lié à des événements récents. Nous nous engageons à faire preuve de transparence et si nous trouvons des informations dont nos clients doivent avoir connaissance, nous les partagerons via nos canaux », déclarait la société américaine, Cisco.

Pourquoi cela semble si irréaliste selon certains experts ? tout simplement parce que pour un million de dollars, il est possible d’accéder à des données dans la valeur dépasse largement des centaines de millions de dollars. Trop beau pour être vrai alors.

Des recherches ont démontré que le nom de domaine du site censé faciliter la vente de données à été enregistré sur le registar NLLA, une plate-forme utilisée beaucoup plus par des cybercriminels russes dont Cozy Bear et Fancy Bear.

Suite à la désactivation de leurs contacts ProntonMail, les cybercriminels donnent des instructions à de potentiels clients : « nos adresses e-mail principales et de sauvegarde ont été fermées. Nous comprenons que vous souhaitez plus d’informations, mais nous ne pouvons pas donner d’informations gratuitement. Ce serait une insulte à nos acheteurs de confiance. Cependant, nous pouvons fournir des exemples de données (pour toutes les fuites + bonus) comme preuve de propriété. Comme nous ne considérons que des partenaires sérieux, voici comment nous traiterons les demandes : Envoyez exactement 100 XMR à l’adresse ci-dessous, ajoutez un identifiant de paiement avec votre adresse e-mail afin que nous puissions vous recontacter. Vous devez encoder votre adresse e-mail sous forme de données de 32 octets dans l’identifiant de paiement ». Écrivent t-il sur leur site.

Pour accéder à un extrait des données récupérées lors de l’une des plus grandes attaques informatiques de la décennie, il faudra débourser au moins 16 000 dollars. Même si les autorités et les entreprises concernées mettent en avant la théorie de l’arnaque.

« Bien que le site soit toujours considéré par beaucoup comme une arnaque, Microsoft a étrangement commencé à détecter l’archive cryptée contenant prétendument leur code source comme HackTool: Win32 / Solardump.A et HackTool: Win32 / Solardump.B », explique-le media Bleeping Computer à ce sujet. « Pour compliquer les choses, une copie de site SolarLeak a été créée avec le même contenu de site Web, mais une adresse Monero différente ». Ajoute ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage