La liste de victimes des hackers de SolarWinds continue de s’allonger. Mardi 19 janvier, c’était au tour de Malwarebytes de révéler une intrusion sur son système, détectée mi-décembre, dans un billet de blog signé par le CEO Marcin Kleczynski.
Le vendeur d’antivirus n’utilisait pas de produits SolarWinds, les cyberespions ont donc été contraints de s’infiltrer par autre biais. Ils sont parvenus à corrompre une application tierce présente sur l’espace Microsoft Office 365 de Malwarebytes, et à l’exploiter pour accéder à des « sous-ensembles limités » d’emails internes de l’entreprise.
L’analyse de l’application trafiquée a permis de faire le rapprochement avec les pirates de SolarWinds, puisqu’elle exploitait un mode opératoire et des ficelles techniques proches.
Malwarebytes rassure tout de même sur l’incident : « nos systèmes internes n’ont montré aucune trace d’un accès non autorisé ou compromis à nos environnements de productions. Nos logiciels sont toujours utilisables en toute sécurité ».
Pas de Sunburst 2.0
La découverte de l’intrusion a semé le doute au sein de Malwarebytes. Et si les pirates étaient parvenus à infiltrer son moteur de production pour infecter les mises à jour de ses produits antivirus, comme ils l’ont fait avec Orion de SolarWinds ? Les conséquences d’une telle cyberattaque, connue sous le nom de « supply chain attack », auraient été catastrophiques. L’entreprise a donc décortiqué son code source, ses différentes chaînes de production et a même fait de la rétro-ingénierie sur ses propres logiciels, à la recherche de dysfonctionnements. Bilan : pas de trace d’une supply chain attack.
Pour rappel, les mêmes hackers ont réussi à installer un cheval de Troie dans les mises à jour légitimes du logiciel de gestion de réseaux Orion. Ce malware, nommé Sunburst et très compliqué à détecter, ouvrait une porte dérobée sur le système informatique des victimes. Les malfaiteurs n’avaient plus qu’à l’utiliser pour déployer d’autres malwares, et extraire des informations. SolarWinds comptait plus de 30 000 clients d’Orion, et 18 000 d’entre eux ont déployé une des mises à jour vérolées. Mais les cybercriminels ne voulaient en réalité atteindre qu’une petite partie de ces milliers de clients, et leur cible principale a été le gouvernement américain, au travers de ses différentes branches et agences.
La liste des victimes continue d’être révélée au compte-goutte
À l’échelle de Malwarebytes, une supply chain attack aussi perfectionnée aurait pris une tout autre ampleur. L’entreprise revendique 60 000 entreprises clientes et des millions d’utilisateurs particuliers : la cyberattaque aurait donc touché bien plus de victimes.
L’entreprise de cybersécurité n’est pas la première (ni la dernière) à se déclarer victime. FireEye a déclenché l’alerte mi-décembre, lorsque les hackers sont parvenus à accéder à ses outils offensifs qui servent aux audits de cybersécurité. Les hackers ont aussi infiltré les systèmes de Microsoft et ont réussi à atteindre des dépôts de code source. CrowdStrike, une autre entreprise de sécurité, chargée de l’enquête sur l’incident de SolarWinds, a quant à elle découvert des tentatives ratées de vol d’emails interne.
Reste que le nombre de victimes connues dépasse à peine la dizaine, alors que les autorités américaines estiment à environ 250 le nombre d’organisations infiltrées par les hackers…
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.