Vous suivez encore l'attaque SolarWinds ? Malwarebytes, leader de l'antimalware, est la dernière grande entreprise tech à confirmer une intrusion liée à cette cyberoffensive d'État-nation.
Cependant, contrairement à la plupart des cas, l'accès au réseau de Malwarebytes s'est fait via la protection messagerie de Microsoft 365, et non via le logiciel SolarWinds Orion.
Voici ce que révèle Malwarebytes sur cette affaire.
Dans un billet officiel de son blog, l'expert en cybersécurité Malwarebytes confirme que « l'attaque d'État-nation via SolarWinds a eu un effet domino dans le secteur de la sécurité ».
Bien que n'utilisant pas SolarWinds, Malwarebytes a été ciblée via un vecteur alternatif : l'exploitation d'applications privilégiées dans les environnements Microsoft Office 365 et Azure.
Le Microsoft Security Response Center avait détecté une activité suspecte dans un composant inactif de l'environnement Office 365 de Malwarebytes le 15 décembre. Les attaquants ont exploité un outil de protection e-mail désactivé.
Malwarebytes précise qu'aucun produit grand public n'a été impacté. L'accès s'est limité à un faible volume d'e-mails internes. Tous les produits Malwarebytes demeurent sécurisés.
Après une enquête approfondie, nous avons déterminé que l'attaquant n'avait eu accès qu'à un sous-ensemble limité d'e-mails internes. Aucune preuve d'accès non autorisé ou de compromission n'a été trouvée dans nos environnements internes on-premise et de production.
Les techniques et le timing coïncidant avec SolarWinds, Malwarebytes a activé son équipe d'incident avec le DART (Detection and Response Team) de Microsoft.
Selon un récent communiqué de la CISA, SolarWinds n'était qu'un vecteur parmi d'autres dans cette vaste opération. L'acteur malveillant a multiplié les exploits pour viser agences gouvernementales US, Microsoft et géants tech.
Malwarebytes a été alertée fin 2020, mais la confirmation a pris plus d'un mois.
Rappel : FireEye, firme de cybersécurité majeure, a détecté l'attaque début décembre 2020, marquant le début de la saga SolarWinds.
Microsoft a déployé des correctifs en janvier 2021, incluant un zero-day activement exploité et plus de 80 vulnérabilités. Des mises à jour Windows Defender visent aussi les malwares SolarWinds.
Ces mesures positives n'empêchent pas la découverte continue de nouveaux malwares liés, soulignant la sophistication de l'attaque.
[]