Les pirates de Cozy Bear à l’origine d’une attaque informatique de grande ampleur aux États-Unis

Sécurité

Par Olivier le

Le groupe de pirates russes Cozy Bear, alias APT29, a de nouveau frappé un grand coup en s’attaquant aux Départements américains du Commerce et des Finances, grâce à un malware diffusé au sein du logiciel Orion de SolarWinds.

Crédit : TheDigitalWay, Pixabay
Crédit : TheDigitalWay, Pixabay

Les hackers de Cozy Bear ont beaucoup fait parler d’eux ces derniers mois. On les retrouvait ainsi derrière les tentatives d’effraction dans les systèmes informatiques de labos de recherche sur le vaccin contre la COVID-19 cet été. Plus récemment, ils sont parvenus à faire diffuser un malware dans le logiciel Orion, qui sert à l’administration réseau. L’éditeur SolarWinds compte le gouvernement américain parmi les utilisateurs d’Orion.

Vol d’informations sensibles

Les départements du Trésor et du Commerce ont été les victimes du malware, qui crée une porte dérobée baptisée Sunburst. Cela permet aux pirates de consulter et de récupérer des informations sensibles comme des e-mails. Et ces deux ministères ne sont sans doute pas les seuls touchés, le Pentagone utilisant lui aussi des solutions Orion, tout comme les ministères des Anciens combattants, de la Santé, de l’Énergie, de la Sécurité intérieure (dont la Cybersecurity and Infrastructure Security Agency), ainsi que le FBI.

Les hackers d’APT29 peuvent donc, potentiellement, accéder à beaucoup de secrets et de données confidentielles. Devant l’ampleur de cette faille majeure, Microsoft, FireEye (qui a le premier annoncé avoir été victime de cette nouvelle attaque de Cozy Bear) et GoDaddy ont mis au point un « kill switch », un coupe-circuit, pour bloquer Sunburst. Malheureusement, ce système ne sera d’aucune aide pour les organisations déjà touchées : les pirates ayant pu pénétrer par effraction dans les serveurs des administrations américaines y ont sans doute déjà installé des outils persistants.

SolarWinds compte en tout 18.000 clients qui ont téléchargé la version d’Orion contenant le malware, en mars et en juin de cette année. Preuve que les pirates voient loin et prévoient leurs attaques sur le long terme. L’éditeur explique néanmoins que les effractions ne sont pas automatiques : les hackers ont beaucoup de travail pour parvenir à exploiter cette porte dérobée.

APT29 n’est pas n’importe qui. Depuis des années, ce groupe de pirates fait régner la terreur sur les serveurs des grandes entreprises, des organisations gouvernementales, des partis politiques, etc. Il serait affilié aux services de renseignements russes, le FSB, supervisé de près par Vladimir Poutine le président du pays.