SolarWinds, vecteur parmi d’autres dans la campagne d’espionnage qui secoue actuellement les États-Unis ?
L’entreprise américaine est au cœur de cette affaire. Et pour cause : c’est dans un de ses logiciels qu’on a trouvé plusieurs backdoors qui ont vraisemblablement servi la campagne en question.
Si l’attention s’est jusqu’alors focalisée sur SolarWinds*, des soupçons commencent à peser sur un autre éditeur. En l’occurrence, JetBrains, localisé en République tchèque avec des labos en Russie. Et plus particulièrement sur un produit : TeamCity. « Plus de 300 000 » organisations utiliseraient cet outil CI/CD. La liste comprend l’essentiel du Fortune 100… ainsi que SolarWinds.
JetBrains a rapidement réagi. Il a, d’une part, démenti toute implication volontaire dans la campagne. Et, d’autre part, affirmé n’avoir reçu aucune sollicitation de Washington ou d’une quelconque agence américaine.
Sur place, le DoJ (département de la Justice) fait partie des victimes connues. Ce 6 janvier, il a publié une alerte. Principale information : des accès indésirables à « environ 3 % » de ses boîtes de messagerie Office 365. C’est-à-dire potentiellement plus de 3 000 comptes, si on considère que l’effectif du DoJ compte quelque 115 000 personnes.
Cela accrédite l’analyse qu’a notamment eue Microsoft : la campagne avait pour véritable objectif d’accéder à des applications et services cloud. La backdoor déployée sur le réseau local des victimes était le point de départ d’une chaîne impliquant des élévations de privilèges. Jusqu’à prendre la main sur le mécanisme d’authentification de ces applications et services. Deux méthodes ressortent :
Dans l’un et l’autre cas, même conséquence : on peut créer des jetons capables de contourner les éventuels dispositifs d’authentification forte mis en place. À partir de là, un appel d’API suffit. Par exemple pour lire des mails sur Outlook…
* SolarWinds fait notamment face à une tentative de recours collectif au nom de ses actionnaires.
Photo d’illustration © Rawpixel.com – stock.adobe.com
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.