Les départements du Trésor et du Commerce américains ont été la cible d’une cyberattaque, dimanche 13 décembre, très probablement reliée à une agence de renseignement russe, rapportent plusieurs médias américains. Les hackers, probablement responsables de l’attaque chez FireEye quelques jours auparavant, ont utilisé une faille sur l’un des logiciels de SolarWinds.
Le département du Trésor ainsi que le département du Commerce des États-Unis ont tous les deux été la cible d’une attaque informatique d’une source étrangère, a reconnu l’administration américaine dimanche, confirmant les informations parues ce week-end, d’abord chez Reuters puis auprès de nombreux médias américains. La Russie est fortement soupçonnée d’être derrière l’attaque, rapportent plusieurs médias américains.
L’attaque serait également très probablement liée à celle de FireEye, entreprise fournissant des logiciels de cybersécurité à des administrations et entreprises américaines et victime d’une attaque très sophistiquée le 8 décembre dernier, et dont les hackers utiliseraient des outils dérobés à l’entreprise, précise le New York Times.
Dans un premier communiqué, l’entreprise avait précisé que les hackers avaient ciblé des outils informatiques comme faisant partie de ce que l’entreprise appelle la « Red Team », outils capable de mimer le comportement de cyberattaques.
L’entreprise a rendu les conclusions d’une première enquête interne dans un second communiqué, dimanche, laissant penser à une attaque méticuleuse et préparée de longue date.
« Nous avons identifié une campagne mondiale pour mettre en péril des réseaux d’organisations publiques et privées grâce à l’utilisation d’un logiciel. […] Selon nos analyses, nous avons identifié plusieurs organisations victimes de tels compromis dès le printemps 2020 », écrit-elle.
Vulnérabilité dans Orion
Les hackers auraient introduit un code dans l’une des mises à jour du logiciel Orion de SolarWinds puis utilisé un malware pour discrètement observer et pénétrer les administrations et entreprises cibles de l’attaque. SolarWinds a confirmé de possibles vulnérabilités dans les mises à jour de ces logiciels entre mars et juin, écrit Voice Of America.
Le département du commerce des États-Unis a confirmé l’attaque et demandé à ce que l’agence de cybersécurité du département de sécurité intérieure des États-Unis (CISA) ainsi que le Federal Bureau of Investigation (FBI) ouvrent une enquête, rapporte Reuters. Le gouvernement cherche à déterminer si d’autres administrations ou entreprises ont été victimes d’attaques, précise le New York Times.