Sunburst: un Cyber ​​de Pearl Harbor?

(Pour Ciro Metaggiata)
21/12/20

Dans quelques années, lorsque la terrible pandémie actuelle sera enfin sous contrôle, 2020 restera non seulement dans les mémoires pour l'explosion de l'infection COVID-19 et ses conséquences désastreuses, mais elle représentera probablement aussi une étape importante pour les universitaires et pour les professionnels (ainsi que pour les curieux comme moi) de la dimension cyber, à la suite d'une histoire qui prend les contours de l'un des plus sans scrupules histoire d'espionnage du succès de tous les temps. La référence est à la cyberattaque subie par la société informatique américaine SolarWinds, dont les produits, distribués dans le monde entier, ont été utilisés comme "chevaux de Troie" pour pénétrer les réseaux et systèmes d'entreprises et d'organismes gouvernementaux à travers le monde, véritables cibles de l'espionnage.

Dans le jargon, ce type d'attaque est appelé «cyberattaque de la chaîne d'approvisionnement» et, en réalité, derrière ces termes retentissants et apparemment complexes, il y a des déclinaisons modernes de techniques d'espionnage qui existent depuis longtemps: la sécurité de la cible est indirectement compromise , attaquant la «chaîne logistique» relative, c'est-à-dire un bien ou un service légitimement fourni par un tiers (généralement une entreprise). Dans le domaine du cyber, ce sont des biens ou des services informatiques dont aucune entreprise ou organisme gouvernemental ne peut se passer pour mener à bien ses tâches.

Un exemple frappant de ce type de cyberattaque est l'opération que la National Security Agency, selon l'ancien collaborateur Edward Snowden, aurait mise en place pendant des années en s'assurant que les périphériques réseau produits par une entreprise leader soient distribués sur le marché. dans le monde entier, spécifiquement modifiés par l'Agence, afin de pouvoir intercepter et retransmettre toutes les communications traitées par ces systèmes. Ou, l'incroyable histoire de Crypto AG (v.articolo), une société basée en Suisse qui a produit et distribué des machines de chiffrement dans des pays appartenant à la fois à l'OTAN et à l'extérieur de l'Alliance (pour un total de 130 gouvernements!), également modifiée afin de permettre le renseignement et L'allemand intercepte les communications classifiées des pays "amis" et des adversaires depuis plus de 50 ans!

Enfin, un autre exemple de cyberattaque de la chaîne d'approvisionnement se compose de NotPetya, un malware dévastateur, "inoculé" en 2017 lors de la mise à jour d'un logiciel de gestion d'entreprise très populaire en Ukraine (v.articolo). A cet égard, s'il est vrai qu'il ne sera probablement jamais possible de quantifier l'impact réel de ces opérations, il est certain que, compte tenu du nombre élevé d'objectifs en jeu et de la durée de l'activité offensive menée, il s'agit dans tous les cas de une immense quantité d'informations interceptées ou détruites, avec de très graves atteintes à la sécurité des victimes. Le même scénario se dessine également pour l'attaque d'un SolarWinds car ils filtrent les détails (évidemment ceux qui veulent savoir) des enquêtes en cours.

Serait-ce l'équivalent cyber de l'attaque de la base navale de Pearl Harbor en 1941, c'est-à-dire un acte d'hostilité si vaste et avec des conséquences si graves, qu'il implique une réponse sans précédent, peut-être ne se développe-t-il pas uniquement dans la dimension cyber? Ce qui va se passer maintenant?

Continuons dans l'ordre. Il y a quelques jours, l'entreprise FireEye, entreprise leader dans le domaine de la cybersécurité, a annoncé avoir été victime d'une grave cyberattaque qui, entre autres, aurait permis l'exfiltration de certains logiciels développés pour effectuer des tests de sécurité pour le compte de ses clients (v.articolo). En particulier, il a été appris que cette attaque avait été menée à l'aide d'une mise à jour du système Orion SolarWinds astucieusement compromis, c'est-à-dire apparemment «authentique» mais, en réalité, modifié pour lui permettre de pénétrer les systèmes et les réseaux FireEye. Ce détail de l'attaque, une fois connu, a par conséquent élargi l'horizon des enquêtes également à toutes les autres entreprises et organismes étatiques qui utilisent les mêmes services de SolarWinds, cibles susceptibles d'être atteintes depuis mars dernier, période à partir de laquelle remonte la diffusion de la mise à jour frauduleuse en question.

La liste des victimes s'enrichit d'heure en heure sur la base des analyses en cours sur les preuves collectées et comprend désormais des milliers de sujets publics et privés répartis dans le monde (on parle de plus de 17.000 victimes), dans la plupart des cas cependant concentrés aux USA . Par conséquent, essayer de fournir une liste mise à jour laisse le temps qu'il trouve. Cependant, sans crainte de se tromper, il est possible d'affirmer que, dans de nombreux cas, il s'agit d'organismes gouvernementaux appartenant à des secteurs même cruciaux (comme, par exemple, le Département américain de l'énergie) et d'entreprises de premier plan à l'échelle mondiale qui, à leur tour, ils fournissent des produits et des services. En particulier, une fois leurs systèmes Orion mis à jour avec le logiciel modifié, l'attaquant a pu s'introduire dans les réseaux des cibles et dans de nombreux cas il en a pris le contrôle, lançant de nouvelles attaques en exploitant la «brèche» ouverte dans les systèmes défensifs des autres.

À l'heure actuelle, ni les données ainsi volées ni les autres conséquences des attaques ne sont connues, car des techniques particulièrement sophistiquées ont été utilisées pour détourner les enquêtes (dans le jargon, pour «masquer» les indices). Ce détail, ainsi que les techniques de programmation utilisées pour rendre la mise à jour de SolarWinds compromise, surnommée entre-temps SUNBURST, semblent être originaux, sont considérés comme des indicateurs des capacités de très haut niveau possédées par l'attaquant. Oui, qui est derrière cette audacieuse opération?

Comme d'habitude, les enquêtes ne permettent pas d'attribuer avec certitude la paternité de l'action d'espionnage, mais il s'agit certainement d'une organisation disposant d'énormes ressources (personnel technique expert, financement, personnel de planification, infrastructure, etc.) appartenant à un gouvernement ou nécessairement parrainé par une nation. Ou ce pourrait être un groupe criminel qui offre des services au plus offrant, qui est devenu le leader du marché noir de l'information en web sombre, le "côté obscur" d'Internet. Qui peut le dire? Aucun avec une certitude absolue.

Certains analystes et représentants de l'administration américaine actuelle estiment que le groupe de hackers connu sous les noms de code APT29, Cozy Bear, CozyCar, CozyDuke ou Office Monkeys, qui serait lié au Sluzhba Vneshnej Razvedki (SVR), le service de renseignement étranger russe (qui a célébré ses 19 premiers ans d'histoire le 100 décembre) et qui dispose d'un programme particulièrement important de cyberopérations sophistiquées. Cependant, le gouvernement de la Fédération de Russie a rapidement nié toute implication.

Les enquêtes ne font que commencer et, comme cela se produit presque toujours dans ces affaires, il est peu probable que des preuves suffisantes soient recueillies pour identifier les coupables avec une certitude raisonnable et les punir pénalement. Il sera également très difficile de quantifier les dommages subis par les victimes et de savoir ce qu'il est advenu des informations volées, ou plutôt «copiées», sans que personne ne s'en aperçoive. Au final, il n'est pas possible de reconstituer complètement toutes les opérations menées par l'attaquant pendant les huit mois environ de «séjour» dans les systèmes et réseaux des victimes.

Ce scénario a conduit certains observateurs à tirer une conclusion inquiétante: nous devrons faire face aux conséquences de cette attaque pendant de nombreux mois ou années, car l'attaquant peut avoir disséminé les réseaux et les systèmes cibles d'autres logiciels malveillants. En effet, s'il est vrai qu'il s'agit d'un groupe particulièrement expérimenté et efficace, les analystes rappellent que l'éventualité de la découverte de la transaction était certainement planifiée à l'avance et, par conséquent, ils estiment que toutes les mesures visant à poursuivre la campagne d'espionnage en anticipant les contre-mesures des victimes.

Le dernier aspect de l'histoire, peut-être seulement en apparence secondaire, est l'aspect financier: SolarWinds est une société cotée en bourse et une telle attaque pourrait être fatale à sa réputation et, par conséquent, à son avenir. De plus, il semble qu'il y ait ceux qui ont réussi à faire un profit sur l'ensemble de la question, rendant les mouvements du marché plus que suspects.

En conclusion, ponctuellement, chaque année en cette période nous nous retrouvons sur ces pages pour faire des rapports finaux sur la cybersécurité, d'où surgissent des scénarios aux couleurs de plus en plus sombres. Chaque année, la «barre» est déplacée de plus en plus haut, se rapprochant dangereusement du seuil du véritable affrontement entre les États et les limites technologiques sont invariablement démolies, dépassant souvent l'imagination elle-même. Dans ce contexte, si d'une part la société devient de plus en plus dépendante de la dimension cyber, d'autre part celle-ci est devenue un terrain de chasse totalement dépourvu de règles tant pour les gouvernements que pour les groupes criminels sans scrupules.

La proie de cette chasse acharnée est l'information qui, dans un monde de plus en plus interconnecté, constitue la clé de voûte pour la dominer d'un point de vue militaire, financier, économique, scientifique, technologique ou politique. Ceux qui ne l'ont pas encore compris ou ceux qui ne veulent pas accepter cette réalité sont voués à succomber.

Joyeux 2021!

sources

https://www.corrierecomunicazioni.it/cyber-security/crypto-ag-cyber-scan...

https://www.ncsc.gov.uk/collection/supply-chain-security/supply-chain-at...

https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backd...

https://www.govinfosecurity.com/solarwinds-supply-chain-hit-victims-incl...

https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-cus...

https://www.wired.com/story/cozy-bear-dukes-russian-hackers-new-tricks/

https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybers...

https://www.ilpost.it/2020/12/18/attacco-hacker-stati-uniti/amp/

Photo: NASA