Microsoft a confirmé que l'entreprise était victime du piratage de SolarWinds, car l'attaque présumée de l'État-nation revendique un autre cuir chevelu majeur.
Un avis de la NSA publié le 17 décembre 2020 faisait référence à des produits Microsoft tels qu'Azure et Active Directory, ce que le géant de la technologie a confirmé par la suite.
Microsoft utilisait SolarWinds Orion, le logiciel de gestion à distance à l'origine de l'attaque. Certaines publications ont suggéré que les produits compromis de Microsoft, tels qu'Azure et Active Directory, ont ensuite été utilisés comme outils d'attaque contre d'autres victimes.
Cependant, le président de Microsoft, Brad Smith, a publié une déclaration niant que leurs produits aient été cooptés dans l'attaque. Le Department for Homeland Security a également corroboré le démenti. La déclaration complète de Brad Smith peut être lue sur le blog officiel de Microsoft.
Comme d'autres clients SolarWinds, nous recherchons activement des indicateurs de cet acteur et pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants dans notre environnement, que nous avons isolés et supprimés. Nous n'avons trouvé aucune preuve d'accès aux services de production ou aux données des clients. Nos enquêtes, qui sont en cours, n'ont trouvé absolument aucune indication que nos systèmes aient été utilisés pour attaquer d'autres personnes.
Smith a qualifié le piratage de SolarWinds en cours de "moment de jugement", déclarant sa conviction que "nous avons besoin de mesures fortes pour tenir les États-nations responsables des cyberattaques".
Dans le jeu mondial du chat et de la souris sur la cybersécurité, l'attaque de SolarWinds a considérablement fait monter les enchères.
Le piratage de SolarWinds est en cours et fait encore plus de victimes.
Microsoft est l'une des plus grandes entreprises technologiques à déclarer son implication. Parmi les autres cibles figurent le Département américain de l'énergie et, ce qui est peut-être le plus inquiétant, la National Nuclear Security Administration, qui gère l'arsenal nucléaire américain.
Le rapport de Microsoft indique qu'environ 80 % des organisations concernées sont basées aux États-Unis. Il y a aussi des victimes au Royaume-Uni, en Belgique, en Espagne, au Canada, au Mexique, en Israël et aux Émirats arabes unis. D'autres victimes devraient apparaître dans les jours et les semaines à venir.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié de nouvelles informations concernant l'attaque, indiquant que d'autres vecteurs d'attaque peuvent exister en dehors de SolarWinds et du malware Sunburst à l'origine de la menace.
Par exemple, la CISA enquête sur un incident impliquant l'auteur présumé de la menace utilisant des clés secrètes volées lors d'une attaque précédente. La clé secrète (comme une clé de chiffrement) permet à l'attaquant "de générer un cookie pour contourner l'authentification multifacteur Duo protégeant l'accès à Outlook Web App (OWA)."
SolarWinds est ce qu'on appelle un piratage de la chaîne d'approvisionnement. Les attaquants compromettent la chaîne d'approvisionnement dans le réseau de la victime plutôt que d'attaquer le réseau directement. Une fois à l'intérieur, l'attaquant dispose d'un accès sans précédent au fonctionnement interne de l'organisation.
SolarWinds n'est pas la première attaque contre la chaîne d'approvisionnement, mais c'est certainement la plus importante.
