Sécurité applicative : pourquoi passer au DevSecOps ?

L'affaire Solarwind : Ce que nous devons retenir dans le contexte actuel avec la Russie

Anticiper

L’affaire Solarwinds, ça vous parle ? Revenons rapidement sur les faits :

Révélée au public en décembre 2020, l'attaque contre SolarWinds et les clients de sa plateforme de surveillance réseau Orion a été liée à l'agence de renseignement russe SVR. Les attaquants ont réussi à pénétrer dans la chaîne d'approvisionnement des logiciels et à insérer un code malveillant dans l'application, qui a ensuite été distribuée comme mise à jour à des milliers de clients.

En conséquence, les attaquants auraient eu accès pendant neuf mois à de nombreuses entreprises et agences gouvernementales, notamment FireEye, Microsoft et les départements de la défense, de l'État et du Trésor.

Il convient toutefois de noter que SolarWinds n'était pas la première attaque majeure de la chaîne d'approvisionnement logicielle attribuée à la Russie, ni même la plus dommageable.

L'attaque NotPetya de 2017 proviendrait de la compromission d'une application de comptabilité, MeDoc, fabriquée par une société ukrainienne et largement utilisée dans le pays. Le logiciel malveillant diffusé par la mise à jour du logiciel compromis a fini par se propager dans le monde entier. Et elle reste la cyberattaque la plus coûteuse à ce jour, avec des dommages de 10 milliards de dollars.

D'autres violations de la chaîne d'approvisionnement très médiatisées ont inclus Kaseya et CodeCov, et selon les données d'Aqua Security, les attaques de la chaîne d'approvisionnement en logiciels ont bondi de plus de 300 % globalement en 2021.

Malheureusement, la cyberguerre pourrait aujourd’hui devenir de plus en plus intense, puisque les cyberattaques russes pourraient se diriger vers les Etats-Unis et d’autres pays occidentaux en guide de représailles. Cela avec une problématique supplémentaire : que ces menaces soient davantage difficiles à détecter.

La raison en est que la Russie aurait gardé certaines de ses meilleures options pour un moment comme celui-ci. On pense généralement que les acteurs russes de la menace ont pris pied dans les systèmes des entreprises et des gouvernements, par le biais de brèches dans la chaîne d'approvisionnement des logiciels de type SolarWinds, de la vulnérabilité Log4j, ou même du piratage de SolarWinds lui-même - qui n'ont pas encore été révélés.

Cela ne saurait pourtant tarder. Les cyber-experts mettent en garde contre un risque accru de cyberattaques en provenance de Russie, suite aux sanctions qui ont exclu les principales banques russes du système financier SWIFT. Cette mesure empêche essentiellement les banques russes d'effectuer des transactions internationales et fait suite à d'autres séries de sanctions liées à l'invasion de l'Ukraine par la Russie, dont certaines ont touché Poutine lui-même.

Les sanctions de SWIFT avaient été décrites comme l'option nucléaire" et sont exactement le type de mesures contre lesquelles Poutine avait juré de riposter. Et les cyberattaques sont sa méthode préférée pour riposter à l'Occident.

Si l'on évalue la taille et la portée de la campagne militaire russe en Ukraine, "cette attaque était prévue depuis des années", a déclaré Eric Byres, directeur technique de la société de cybercriminalité aDolus Technology. "Les efforts déployés pour préparer leur cybercampagne auront été à la hauteur des efforts déployés sur le terrain, donc vous savez que la Russie disposera de ressources de cyberattaque à la hauteur de ses ressources militaires."

Les acteurs russes de la menace, que ce soit dans des agences gouvernementales comme le GRU et le SVR, ou dans des groupes sympathisants comme Conti, ont presque certainement compromis des chaînes d'approvisionnement en logiciels que nous ne connaissons pas encore, selon les cyber experts. Et dans toute manœuvre de cyberguerre visant l'Occident, ils pourraient choisir d'utiliser cet accès.

Les acteurs de la menace russe ont probablement réalisé de nombreuses brèches de ce type qui restent inconnues, pour l'instant. "Les pénétrations dans la chaîne d'approvisionnement n'apparaissent pas sur les photos satellites comme les chars, donc nous ne savons pas vraiment où se cachent les cyber-implants russes", a déclaré Byres.

À la suite de l'attaque non provoquée de la Russie contre l'Ukraine, le pays a également très probablement attendu pour utiliser sa capacité d'attaque aux États-Unis afin de voir à quel point l'Occident riposterait par des sanctions et un soutien à l'Ukraine, a déclaré Byres.

Les chercheurs de Cisco Talos ont également mis en garde contre le risque accru d'attaques russes provenant de la chaîne d'approvisionnement en logiciels, en relation avec les agressions de la Russie en Ukraine.

"Nous évaluons que ces acteurs abuseraient probablement d'éléments de systèmes complexes pour atteindre leurs objectifs sur des environnements ciblés", ont écrit les chercheurs de Talos dans un billet de blog. "Parmi les exemples passés, citons l'utilisation d'un logiciel fiscal ukrainien pour distribuer le malware NotPetya en 2017 et, plus récemment, l'abus de SolarWinds pour accéder à des cibles hautement prioritaires."

Selon toute vraisemblance, les acteurs de la menace russes à l'origine de l'attaque de SolarWinds disposent encore d'un accès issu de la brèche dans de nombreuses entreprises, qui n'a jusqu'à présent pas été utilisé, estiment les experts.

Un accès privilégié

L'attaque de SolarWinds était "unique en ce sens que l'acteur de la menace a ciblé et obtenu un accès persistant et invasif aux réseaux d'entreprise de certaines organisations, à leurs solutions d'identité fédérées et à leurs environnements Active Directory et Microsoft 365", a déclaré James Turgal, ancien membre du FBI depuis 22 ans, et désormais vice-président de la société de conseil en cybersécurité Optiv. "L'acteur a utilisé cet accès privilégié pour collecter et exfiltrer des données sensibles et a créé des portes dérobées pour permettre leur retour."

Turgal, qui a notamment occupé le poste de directeur adjoint exécutif de la Direction de l'information et de la technologie au FBI, a déclaré que le risque provient de la "pénétration profonde de l'acteur de la menace dans les réseaux compromis."

"À moins que chaque serveur, lecteur ou dispositif compromis ne soit remplacé ou rebasculé, la probabilité d'une éviction complète du code malveillant serait faible, en raison du coût élevé et de la complexité d'une telle remédiation", a-t-il déclaré. "En l'absence de remplacement complet ou d'actions de remédiation de base, les réseaux d'entreprise et les environnements cloud de ces victimes seront exposés à un risque substantiel d'activité répétée et à long terme non détectée de l'acteur de la menace russe, et ces organisations compromises pourraient être à nouveau victimisées lorsque l'acteur de la menace le souhaite."

En fin de compte, avec SolarWinds, et NotPetya, "il se peut que des victimes aient été compromises par ces attaques, et qu'elles ne le sachent pas encore", a déclaré Turgal.

Byres est d'accord, disant qu'il est "certain" que la Russie a accès à des victimes de la campagne SolarWinds dont nous ne sommes pas encore au courant.

"En février 2021, j'ai assisté à une réunion d'information organisée par une agence de sécurité du G7, au cours de laquelle le directeur a déclaré que des entreprises d'infrastructures critiques signalaient encore à l'agence qu'elles venaient de découvrir un logiciel SolarWinds compromis dans leurs systèmes. C'était trois mois après la découverte du logiciel malveillant", a déclaré Byres. "Trois mois, c'est une vie dans le cybermonde et les Russes auraient eu plus qu'assez de temps pour se cacher profondément dans un système et couvrir leurs traces."

Aujourd'hui, Reuters a rapporté que les banques américaines se préparent à d'éventuelles cyberattaques en représailles aux sanctions contre la Russie, comme SWIFT. Le rapport mentionne spécifiquement que pour les banques, la violation de SolarWinds "est en tête des préoccupations".

Et SolarWinds n'est "qu'une seule campagne dont nous avons connaissance", a déclaré M. Byres.

Log4j

Par exemple, la vulnérabilité d'Apache Log4j découverte en décembre "était un cadeau de Noël pour les Russes", a-t-il déclaré. "Le logiciel vulnérable est très répandu, et l'exploitation était facile et puissante".

Les agences russes ont presque certainement utilisé cette vulnérabilité, qui serait apparue dans un logiciel de journalisation utilisé par pratiquement toutes les entreprises, pour prendre pied dans des systèmes critiques aux États-Unis qu'elles n'ont pas encore exploités, a déclaré Byres. (Les chercheurs ont noté que les attaques majeures utilisant Log4j ont été moins nombreuses que prévu jusqu'à présent).

Dans le contexte général de la menace actuelle, les entreprises occidentales qui ont des liens commerciaux avec l'Ukraine courent un risque particulièrement élevé, selon Byres.

Par exemple, Maersk a déclaré avoir perdu jusqu'à 300 millions de dollars dans l'attaque NotPetya. Alors que la société de transport maritime est basée au Danemark, elle aurait utilisé le logiciel de comptabilité MeDoc - "ce qui impliquait qu'ils avaient des relations commerciales avec l'Ukraine, un fait qui était impopulaire à Moscou", a déclaré Byres.

Et notamment, alors que NotPetya a coïncidé avec un mouvement séparatiste soutenu par la Russie en Ukraine, "il n'y avait pas de guerre à part entière en cours", a-t-il déclaré. "Donc, toute personne à l'ouest qui traite avec des entreprises ukrainiennes aujourd'hui est confrontée à un risque beaucoup plus grand que Maersk en 2017."

Quelle cyberguerre pour la Russie ?

Cela dit, la Russie cherchera probablement à mener une cyberguerre contre des entreprises qui ne traitent pas directement avec l'Ukraine, a déclaré M. Byres. Poutine a clairement fait savoir que le monde occidental tout entier est son ennemi et que toutes les options sont sur la table, a-t-il ajouté.

"N'importe quel pays et son infrastructure peuvent faire l'objet d'une cyberattaque si Poutine estime qu'ils interfèrent avec ses objectifs, a-t-il ajouté.

Si les Russes avaient réussi à soumettre toute l'Ukraine en quelques jours, ils auraient probablement gardé les cyber-armes dans l'infrastructure américaine sous le coude pour un jour de pluie à l'avenir, a-t-il noté. Mais après les sanctions de ces derniers jours et une résistance plus forte que prévu de la part des forces ukrainiennes, ce calcul a peut-être changé.

Pour les cyberdéfenseurs occidentaux, "notre travail consiste à découvrir rapidement ces attaques et à les éteindre avant qu'elles ne se propagent et ne causent de graves dommages", a déclaré M. Byres. "C'est un peu comme la lutte contre les feux de forêt - la réponse efficace consiste à repérer rapidement les petits feux et à les éteindre avant qu'ils ne deviennent de grands incendies."

Cela ne peut se faire que si l'on a une visibilité "à la fois de l'ensemble de la forêt et des arbres qui la composent", a-t-il ajouté. "Les gouvernements et la direction des entreprises doivent être en mesure de voir la forêt et les arbres de notre chaîne d'approvisionnement en logiciels."

Retour à l'acceuil
Nos derniers articles
Pourquoi passer au DevSecOps
Anticiper
Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?
Lire l'article
Pourquoi passer au DevSecOps
Protéger
Les 5 plus gros hacks de l'Histoire en entreprise
Lire l'article
Pourquoi passer au DevSecOps
Anticiper
Gouvernance et gestion des risques, l'affaire de tous en entreprise !
Lire l'article