Le soufflet de la cyberattaque affectant l'éditeur SolarWinds et par rebond ses clients ayant téléchargé une mise à jour piégée contenant une backdoor n'est pas près de retomber. Après Microsoft, c'est au tour de Cisco de faire partie des victimes collatérales. Certains systèmes internes - une vingtaine selon des sources proches du dossier - utilisés par les chercheurs de l'équipe Lab de l'équipementier réseau et télécom ont ainsi été ciblés, a expliqué Bloomberg. Suite à la découverte de cet incident, l'équipementier a indiqué que son équipe de sécurité avait agi rapidement pour résoudre le problème et que le logiciel affecté avait été atténué. « Pour le moment, il n'y a aucun impact connu sur les offres ou les produits Cisco », a déclaré un porte-parole de la société. « Nous continuons à étudier tous les aspects de cette situation en évolution avec la plus haute priorité ».
Selon un rapport de la société de cybersécurité Recorded Future, 198 organisations (entreprises, agences fédérales, institutions...) ont été victimes des mises à jour piégées SolarWinds. Intel mais également General Electric ou encore Equifax en feraient aussi partie. Sur les quelque 18 000 clients SolarWinds qui ont reçu la mise à jour infectée, plus de 1 000 ont été exposés au code malveillant et un peu moins de 200 auraient été victimes du piratage en tant que tel. Avec mise en oeuvre d'une connexion sur serveur de commande et contrôle (C&C) exploité par des pirates et enfouissement profond dans le réseau de leurs victimes. Un porte-parole de SolarWinds a déclaré que la société « reste concentrée sur la collaboration avec les clients et les experts pour partager des informations et travailler pour mieux comprendre ce problème ». « Cela reste les premiers jours de l'enquête », a déclaré le porte-parole. Une façon à peine voilée de dire que le reste de l'iceberg est encore largement immergé.
Deux groupes de cybercriminels pour le prix d'un
Jusqu'à présent, ce sont les mises à jour d'Orion - la plateforme centralisée de gestion réseau et d'infrastructures - de SolarWinds qui étaient concernées par l'insertion malveillante de backdoors dans son code source. Mais il semblerait que dans le cas de Cisco, cela ne soit pas le cas. « Bien que Cisco n'utilise pas SolarWinds Orion pour la gestion ou la surveillance de son réseau d'entreprise, nous avons identifié et atténué les logiciels affectés dans un petit nombre d'environnements de laboratoire et un nombre limité de points de terminaison d'employés », selon la déclaration de la société. Difficile dans les conditions actuelles de savoir si d'autres logiciels de SolarWinds ont été affectés et/ou la façon précise dont Cisco a été infecté.
En parallèle, Microsoft a découvert qu'il n'y avait pas un mais deux groupes de « menaces persistantes avancées » ciblant SolarWinds. « L'enquête sur l'ensemble de la compromission SolarWinds a conduit à la découverte d'un malware supplémentaire qui affecte également le produit SolarWinds Orion, mais qui a été déterminé comme probablement sans rapport avec cette compromission et utilisé par un autre acteur de la menace », a déclaré l'équipe de recherche Microsoft 365 Defender.
Une attribution qui vire au casse-tête
Personne chez Microsoft n’a encore dit d’où proviendrait le deuxième groupe APT, mais il n'est pas exclu qu’il s’agisse de la Chine. C'est aussi ce que le président des Etats-Unis Donald Trump a suggéré mais, là encore, déterminer l'attribution de cette - ou ces - cyberattaque(s) relève du casse-tête. Elle se resserre sur la Russie et le secrétaire d'État Michael Pompeo a indiqué vendredi dans une interview que celle-ci en était à l'origine. « Il y a eu un effort important pour utiliser un logiciel tiers pour essentiellement intégrer du code dans les systèmes du gouvernement américain, et il apparaît maintenant que ce soit aussi le cas de systèmes d'entreprises privées et d'entreprises et de gouvernements du monde entier », a déclaré Pompeo dans une interview à la radio. « C'était un effort très important, et je pense qu'il est vrai que maintenant nous pouvons dire assez clairement que ce sont les Russes qui se sont engagés dans cette activité ». Même son de cloche du côté du président de la commission du renseignement du Sénat, Marco Rubio, qui a déclaré qu'il était « de plus en plus clair que les services de renseignement russes ont mené la plus grave cyber-intrusion de notre histoire ».