Les hackers de SolarWinds ont mis la main sur des emails internes de l'entreprise de cybersécurité Malwarebytes. Mais la catastrophe a été évitée : les produits antivirus du groupe ne sont pas compromis.
La liste de victimes des hackers de SolarWinds continue de s’allonger. Mardi 19 janvier, c’était au tour de Malwarebytes de révéler une intrusion sur son système, détectée mi-décembre, dans un billet de blog signé par le CEO Marcin Kleczynski.
Le vendeur d’antivirus n’utilisait pas de produits SolarWinds, les cyberespions ont donc été contraints de s’infiltrer par autre biais. Ils sont parvenus à corrompre une application tierce présente sur l’espace Microsoft Office 365 de Malwarebytes, et à l’exploiter pour accéder à des "sous-ensembles limités" d’emails internes de l’entreprise.
L’analyse de l’application trafiquée a permis de faire le rapprochement avec les pirates de SolarWinds, puisqu’elle exploitait un mode opératoire et des ficelles techniques proches.
Malwarebytes rassure tout de même sur l’incident : "nos systèmes internes n’ont montré aucune trace d’un accès non autorisé ou compromis à nos environnements de productions. Nos logiciels sont toujours utilisables en toute sécurité".
La découverte de l’intrusion a semé le doute au sein de Malwarebytes. Et si les pirates étaient parvenus à infiltrer son moteur de production pour infecter les mises à jour de ses produits antivirus, comme ils l’ont fait avec Orion de SolarWinds ? Les conséquences d’une telle cyberattaque, connue sous le nom de "supply chain attack", auraient été catastrophiques. L’entreprise a donc décortiqué son code source, ses différentes chaînes de production et a même fait de la rétro-ingénierie sur ses propres logiciels, à la recherche de dysfonctionnements. Bilan : pas de trace d’une supply chain attack.
Pour rappel, les mêmes hackers ont réussi à installer un cheval de Troie dans les mises à jour légitimes du logiciel de gestion de réseaux Orion. Ce malware, nommé Sunburst et très compliqué à détecter, ouvrait une porte dérobée sur le système informatique des victimes. Les malfaiteurs n’avaient plus qu’à l’utiliser pour déployer d’autres malwares, et extraire des informations. SolarWinds comptait plus de 30.000 clients d’Orion, et 18.000 d’entre eux ont déployé une des mises à jour vérolées. Mais les cybercriminels ne voulaient en réalité atteindre qu’une petite partie de ces milliers de clients, et leur cible principale a été le gouvernement américain, au travers de ses différentes branches et agences.
À l’échelle de Malwarebytes, une supply chain attack aussi perfectionnée aurait pris une tout autre ampleur. L’entreprise revendique 60.000 entreprises clientes et des millions d’utilisateurs particuliers : la cyberattaque aurait donc touché bien plus de victimes...
L’entreprise de cybersécurité n’est pas la première (ni la dernière) à se déclarer victime. FireEye a déclenché l’alerte mi-décembre, lorsque les hackers sont parvenus à accéder à ses outils offensifs qui servent aux audits de cybersécurité. Les hackers ont aussi infiltré les systèmes de Microsoft et ont réussi à atteindre des dépôts de code source. CrowdStrike, une autre entreprise de sécurité, chargée de l’enquête sur l’incident de SolarWinds, a quant à elle découvert des tentatives ratées de vol d’emails interne.
Reste que le nombre de victimes connues dépasse à peine la dizaine, alors que les autorités américaines estiment à environ 250 le nombre d’organisations infiltrées par les hackers…
La liste de victimes des hackers de SolarWinds continue de s’allonger. Mardi 19 janvier, c’était au tour de Malwarebytes de révéler une intrusion sur son système, détectée mi-décembre, dans un billet de blog signé par le CEO Marcin Kleczynski.
Le vendeur d’antivirus n’utilisait pas de produits SolarWinds, les cyberespions ont donc été contraints de s’infiltrer par autre biais. Ils sont parvenus à corrompre une application tierce présente sur l’espace Microsoft Office 365 de Malwarebytes, et à l’exploiter pour accéder à des "sous-ensembles limités" d’emails internes de l’entreprise.
L’analyse de l’application trafiquée a permis de faire le rapprochement avec les pirates de SolarWinds, puisqu’elle exploitait un mode opératoire et des ficelles techniques proches.
Malwarebytes rassure tout de même sur l’incident : "nos systèmes internes n’ont montré aucune trace d’un accès non autorisé ou compromis à nos environnements de productions. Nos logiciels sont toujours utilisables en toute sécurité".
La découverte de l’intrusion a semé le doute au sein de Malwarebytes. Et si les pirates étaient parvenus à infiltrer son moteur de production pour infecter les mises à jour de ses produits antivirus, comme ils l’ont fait avec Orion de SolarWinds ? Les conséquences d’une telle cyberattaque, connue sous le nom de "supply chain attack", auraient été catastrophiques. L’entreprise a donc décortiqué son code source, ses différentes chaînes de production et a même fait de la rétro-ingénierie sur ses propres logiciels, à la recherche de dysfonctionnements. Bilan : pas de trace d’une supply chain attack.
Pour rappel, les mêmes hackers ont réussi à installer un cheval de Troie dans les mises à jour légitimes du logiciel de gestion de réseaux Orion. Ce malware, nommé Sunburst et très compliqué à détecter, ouvrait une porte dérobée sur le système informatique des victimes. Les malfaiteurs n’avaient plus qu’à l’utiliser pour déployer d’autres malwares, et extraire des informations. SolarWinds comptait plus de 30.000 clients d’Orion, et 18.000 d’entre eux ont déployé une des mises à jour vérolées. Mais les cybercriminels ne voulaient en réalité atteindre qu’une petite partie de ces milliers de clients, et leur cible principale a été le gouvernement américain, au travers de ses différentes branches et agences.
À l’échelle de Malwarebytes, une supply chain attack aussi perfectionnée aurait pris une tout autre ampleur. L’entreprise revendique 60.000 entreprises clientes et des millions d’utilisateurs particuliers : la cyberattaque aurait donc touché bien plus de victimes...
L’entreprise de cybersécurité n’est pas la première (ni la dernière) à se déclarer victime. FireEye a déclenché l’alerte mi-décembre, lorsque les hackers sont parvenus à accéder à ses outils offensifs qui servent aux audits de cybersécurité. Les hackers ont aussi infiltré les systèmes de Microsoft et ont réussi à atteindre des dépôts de code source. CrowdStrike, une autre entreprise de sécurité, chargée de l’enquête sur l’incident de SolarWinds, a quant à elle découvert des tentatives ratées de vol d’emails interne.
Reste que le nombre de victimes connues dépasse à peine la dizaine, alors que les autorités américaines estiment à environ 250 le nombre d’organisations infiltrées par les hackers…
[Système d'exploitation : Linux Mint 21.3] - [RAM : 15.34 GB]
[Processeur : 11th Gen Intel® Core™ i5-1135G7 @ 2.40GHz - 4 cœurs physiques]
[Disque dur : SSD 980 PRO 2TB(1,8T)]
[Carte graphique : Intel Corporation TigerLake-LP GT2 [Iris Xe Graphics] (rev 01)]
[Processeur : 11th Gen Intel® Core™ i5-1135G7 @ 2.40GHz - 4 cœurs physiques]
[Disque dur : SSD 980 PRO 2TB(1,8T)]
[Carte graphique : Intel Corporation TigerLake-LP GT2 [Iris Xe Graphics] (rev 01)]
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
