FireEye et des agences US piratés à cause d’un logiciel de SolarWinds
La récente attaque contre FireEye fait partie d’une campagne plus vaste ayant touché des agences fédérales américaines. Les attaquants ont exploité une faille dans le système de mises à jour du produit de surveillance de réseau Orion de SolarWinds.
Le voile se lève progressivement sur les rouages de la cyberattaque contre la firme FireEye. Plusieurs médias dont le Washington Post révèlent qu’outre FireEye, des agences fédérales américaines se sont fait pirater par le groupe de hackers (Cozy Bear ou APT 29) soutenu par le gouvernement russe dans le cadre de la même campagne d’attaques.
La firme de cybersécurité de premier plan, qui dans le cadre de l’intrusion de son réseau s’est fait dérober des outil de hacking, précise dans un nouvel article de blog que l’attaque a exploité une faille dans le système de mises à jour du produit de surveillance de réseau Orion de SolarWinds pour infiltrer les réseaux ciblés et distribuer une porte dérobée nommée «SUNBURST». S’en suivent des activités de mouvement latéral et de vol de données.
L’agence US de cybersécurité (Cybersecurity and Infrastructure Security Agency) a publié une alerte, précisant que la vulnérabilité découverte dans Orion de SolarWinds pose des risques inacceptables et invite les agences fédérales à examiner leurs réseaux et à déconnecter ou éteindre immédiatement le produit compromis.
Selon FireEye, des entreprises utilisant Orion de SolarWinds auraient été infectées dès le printemps 2020. La firme précise que les attaques par ce biais «nécessite une planification méticuleuse et une interaction manuelle». SolarWinds revendique sur son site plus de 300’000 clients, dont des agences gouvernementales, des armées et des entreprises du Fortune 500. La firme liste notamment des grandes sociétés helvétiques, à l’instar de Credit Suisse, Nestlé et Swisscom.