Microsoft a révélé jeudi que les acteurs de la menace derrière l’attaque de la chaîne d’approvisionnement de SolarWinds ont pu accéder à un petit nombre de comptes internes et faire remonter l’accès à l’intérieur de son réseau interne.
« Nous avons détecté une activité inhabituelle avec un petit nombre de comptes internes et après examen, nous avons découvert qu’un compte avait été utilisé pour visualiser le code source dans plusieurs dépôts de code source », a révélé le fabricant de Windows dans une mise à jour.
« Le compte n’avait pas la permission de modifier le code ou les systèmes d’ingénierie et notre enquête a confirmé qu’aucun changement n’avait été fait. Ces comptes ont fait l’objet d’une enquête et de mesures correctives ».
Ce développement est le dernier en date de la saga d’espionnage de grande envergure qui a été révélée au début du mois de décembre suite aux révélations de la société de cybersécurité FireEye selon lesquelles des attaquants avaient compromis ses systèmes via une mise à jour de SolarWinds contenant un cheval de Troie pour voler ses outils de test de pénétration Red Team.
Au cours de l’enquête sur le piratage, Microsoft avait précédemment admis avoir détecté des binaires SolarWinds malveillants dans son propre environnement, mais avait nié que ses systèmes étaient utilisés pour cibler d’autres personnes ou que les attaquants avaient accès à des services de production ou à des données de clients.
Plusieurs autres sociétés, dont Cisco, VMware, Intel, NVIDIA et plusieurs autres agences gouvernementales américaines, ont depuis découvert des marqueurs du malware Sunburst (ou Solorigate) sur leurs réseaux, implantés via des mises à jour Orion contaminées.
La société basée à Redmond a déclaré que son enquête est toujours en cours mais a minimisé l’incident, ajoutant que « la visualisation du code source n’est pas liée à l’élévation du risque » et qu’elle avait trouvé des preuves de tentatives d’activités qui ont été neutralisées par ses protections.
Dans une analyse séparée publiée par Microsoft le 28 décembre, la société a qualifié l’attaque de « compromis interdomaines » qui a permis à l’adversaire d’introduire un code malveillant dans les binaires signés de la plateforme SolarWinds Orion et de tirer parti de cette large emprise pour continuer à opérer sans être détecté et accéder aux ressources en nuage de la cible, ce qui a abouti à l’exfiltration de données sensibles.
Le logiciel Orion de SolarWinds n’a cependant pas été le seul vecteur d’infection initial, car l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré que les attaquants ont également utilisé d’autres méthodes, qui n’ont pas encore été rendues publiques.
L’agence a également publié des directives supplémentaires invitant toutes les agences fédérales américaines qui utilisent encore le logiciel SolarWinds Orion à se mettre à jour avec la dernière version 2020.2.1 HF2.
« L’Agence de sécurité nationale (NSA) a examiné cette version et vérifié qu’elle élimine le code malveillant précédemment identifié », a déclaré l’agence.