International

Microsoft a trouvé des logiciels malveillants dans ses systèmes

San Francisco, 17 décembre

Microsoft Corp a annoncé jeudi avoir trouvé des logiciels malveillants dans ses systèmes en relation avec une campagne de piratage massive lancée par des responsables américains cette semaine, ajoutant une cible technologique de premier plan à une liste croissante d’agences gouvernementales attaquées.

La société de Redmond, dans l’État de Washington, utilise Orion, le logiciel de gestion de réseau largement utilisé de SolarWinds Corp., qui a été utilisé dans les attaques russes présumées contre les principales autorités américaines et autres.

Microsoft a également utilisé ses propres produits pour attaquer les victimes, selon ceux qui connaissent le sujet. La National Security Agency des États-Unis a publié jeudi un rare «avis de cybersécurité» détaillant comment les pirates informatiques ont compromis certains services cloud Microsoft Azure et ont demandé aux utilisateurs de verrouiller leurs systèmes.

«Comme d’autres clients de SolarWinds, nous recherchons activement des indicateurs de ce joueur et pouvons confirmer que nous avons découvert des binaires Solar Winds nuisibles dans notre environnement que nous avons isolés et supprimés», a déclaré un porte-parole de Microsoft, ajoutant que la société n’a trouvé «aucune» preuve que nos systèmes ont été utilisés pour attaquer d’autres ».

L’une des personnes familiarisées avec le Hacking Spree a déclaré que les pirates avaient utilisé les offres cloud de Microsoft et évité l’infrastructure d’entreprise de Microsoft.

Microsoft n’a pas immédiatement répondu aux questions sur la technologie.

Cependant, une autre personne familière avec le sujet a déclaré que le Département de la sécurité intérieure (DHS) ne pensait pas que Microsoft était un moyen important de réinfection.

Microsoft et DHS, qui ont déclaré que les pirates informatiques avaient utilisé plusieurs méthodes d’entrée plus tôt jeudi, enquêtent toujours.

Le FBI et d’autres agences ont programmé vendredi un briefing classifié pour les membres du Congrès.

Le département américain de l’énergie a également déclaré qu’il avait des preuves que des pirates informatiques avaient eu accès à ses réseaux dans le cadre de la campagne. Politico avait précédemment signalé que la National Nuclear Security Administration (NNSA), qui gère les stocks d’armes nucléaires du pays, a été prise pour cible.

Une porte-parole du ministère de l’Énergie a déclaré que les logiciels malveillants étaient “isolés uniquement pour les réseaux d’entreprise” et n’avaient pas compromis la sécurité nationale américaine, y compris la NNSA.

Le DHS a annoncé dans un bulletin jeudi que les pirates informatiques utilisaient des techniques autres que la corruption des mises à jour SolarWinds du logiciel de gestion de réseau, qui est utilisé par des centaines de milliers d’entreprises et d’agences gouvernementales.

CISA a exhorté les enquêteurs à ne pas supposer que leurs organisations sont en sécurité à moins d’utiliser les dernières versions du logiciel SolarWinds, et a indiqué que les pirates n’exploitaient pas tous les réseaux auxquels ils avaient accès.

CISA a déclaré qu’il continuerait d’analyser les autres voies utilisées par les assaillants. Jusqu’à présent, on sait que les pirates ont au moins surveillé les courriels ou d’autres données dans les départements américains de la défense, de l’État, du Trésor, de la sécurité intérieure et du commerce.

Selon SolarWinds, jusqu’à 18 000 clients Orion ont téléchargé les mises à jour, qui comprenaient une porte dérobée. Depuis la découverte de la campagne, les éditeurs de logiciels ont coupé les communications entre ces portes dérobées et les ordinateurs entretenus par les pirates.

“Mais les attaquants ont peut-être installé des moyens supplémentaires pour maintenir l’accès”, a déclaré CISA dans ce que certains ont qualifié de plus gros piratage en une décennie.

Le ministère de la Justice, le FBI et le ministère de la Défense, entre autres, ont transféré des communications de routine vers des réseaux classifiés qui ne semblent pas avoir été lésés, selon deux personnes qui ont été informées des mesures. Ils supposent que les réseaux non classés ont été consultés, ont déclaré les gens.

La CISA et des entreprises privées, dont FireEye Inc, qui ont été les premières à découvrir et à révéler qu’il a été piraté, ont publié une série de pistes que les entreprises doivent rechercher pour voir si elles ont été touchées.

Mais les attaquants sont très prudents et ont supprimé les journaux ou les empreintes électroniques ou les fichiers auxquels ils ont accédé, ont déclaré des experts en sécurité. Cela rend difficile de savoir ce qui a été pris.

Certaines grandes entreprises ont déclaré qu’elles n’avaient «aucune preuve» de leur invasion, mais dans certains cas, cela peut être uniquement dû au fait que les preuves ont été supprimées.

Dans la plupart des réseaux, les attaquants auraient pu créer de fausses données, mais jusqu’à présent, ils ne semblent intéressés que par l’obtention de données réelles.

En attendant, les membres du Congrès demandent plus d’informations sur ce qui aurait pu être enregistré et comment cela aurait pu être enregistré, et qui en est à l’origine. Le comité de la sécurité intérieure et le comité de surveillance de la Chambre ont annoncé jeudi une enquête tandis que les sénateurs faisaient pression pour voir si des informations fiscales individuelles avaient été obtenues.

Dans un communiqué, le président élu Joe Biden a déclaré qu’il «augmenterait la cybersécurité en tant que commandement dans tout le gouvernement» et «perturberait et empêcherait nos adversaires» de mener de tels hacks majeurs. Reuters

Bouton retour en haut de la page