Par Moon of Alabama − Le 16 décembre 2020
Dès que quelqu’un a piraté quelque chose, les médias commencent à blâmer la Russie. Ceci même quand il n’y a aucune preuve qu’elle ait piraté quoi que ce soit.
Mardi 8 décembre, la société de sécurité réseau FireEye a fait état d’une récente attaque contre son réseau :
Sur la base de mes 25 années en cybersécurité et en réponse aux incidents, j’ai conclu que nous assistons à une attaque de la part d’un pays doté de capacités offensives de haut niveau. Cette attaque est différente des dizaines de milliers d'incidents auxquels nous avons répondu au fil des ans. Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour cibler et attaquer FireEye. Ils sont hautement qualifiés en sécurité opérationnelle et exécutés avec discipline et concentration. Ils ont opéré clandestinement, en utilisant des méthodes qui contrecarrent les outils de sécurité et les examens approfondis. Ils ont utilisé une nouvelle combinaison de techniques dont nous ou nos partenaires n'avons jamais été témoins dans le passé. Nous enquêtons activement en coordination avec le Federal Bureau of Investigation et d'autres partenaires clés, dont Microsoft. Leur analyse initiale confirme notre conclusion qu'il s'agissait du travail d'un attaquant très sophistiqué parrainé par un État utilisant de nouvelles techniques.
L’intrusion dans une entreprise de cybersécurité est une erreur car le risque de se faire prendre est nettement plus élevé que lors d’une intrusion dans d’autres environnements. Les intrus s’en seraient tirés avec des outils qui se trouvent probablement également dans la nature.
Dimanche, FireEye a mis à jour son analyse et fourni des détails techniques. C’était vraiment une opération sophistiquée qui a dû coûter cher en ressources :
Nous avons identifié une campagne mondiale qui discrédite les réseaux des organisations publiques et privées dans la chaîne d'approvisionnement des logiciels. Ce discrédit est introduit par le biais de mises à jour d'un logiciel de gestion d'infrastructure informatique largement utilisé, le produit de surveillance de réseau Orion de SolarWinds. La campagne démontre un savoir-faire opérationnel de premier plan et des ressources compatibles avec les acteurs d'une menace parrainés par l'État. Sur la base de notre analyse, les attaques que nous pensons avoir été menées dans le cadre de cette campagne partagent certains éléments communs : 1 - Utilisation d'une mise à jour SolarWinds malveillante : insertion de code malveillant dans des mises à jour logicielles légitimes pour le logiciel Orion qui permettent à un attaquant d'accéder à distance à l'environnement de la victime 2 - Empreinte légère du malware : utiliser des malwares limités pour accomplir la mission tout en évitant la détection 3 - La furtivité en priorité : faire des efforts considérables pour observer et se fondre dans l'activité normale du réseau 4 - OPSEC élevé: Mener patiemment des reconnaissances, en couvrant constamment ses traces et en utilisant des outils difficiles à attribuer Sur la base de notre analyse, nous avons maintenant identifié plusieurs organisations dans lesquelles nous voyons des indications d'intrusion remontant au printemps 2020, et nous sommes en train de notifier ces organisations. Notre analyse indique que ces actions ne s'auto-propagent pas ; chacune des attaques nécessite une planification méticuleuse et une interaction manuelle.
Ni FireEye ni Microsoft n’ont nommé d’acteur présumé derrière l’effort d’intrusion «difficile à attribuer». À côté de la NSA et du GHCQ britannique, il y a au moins Israël, la Chine et peut-être la Russie qui ont de telles capacités. Mais quiconque a eu le culot de s’immiscer dans la société de cybersécurité FireEye a également ruiné ses propres opérations contre de nombreuses cibles de bien plus grande valeur. Des années de travail et des millions de dollars ont été gaspillés à cause de cette seule erreur.
Malgré le manque de preuves indiquant un acteur spécifique, les médias « occidentaux » ont immédiatement accusé la Russie de la tentative d’espionnage.
Comme Reuters l’a rapporté dimanche :
Les pirates informatiques supposés travailler pour la Russie surveillent le trafic de courrier électronique interne des départements du Trésor et du Commerce des États-Unis, selon des personnes proches du dossier, ajoutant qu'ils craignaient que les piratages découverts jusqu'à présent ne soient que la partie visible de l'iceberg. Le piratage est si grave qu'il a conduit à une réunion du Conseil de sécurité nationale à la Maison Blanche samedi, a déclaré l'une des personnes au courant du dossier. ... Le gouvernement américain n'a pas identifié publiquement qui pourrait être à l'origine du piratage, mais trois des personnes proches de l'enquête ont déclaré que la Russie en serait actuellement responsable. Deux personnes ont déclaré que les violations étaient liées à une vaste campagne qui impliquait également le piratage récemment divulgué de FireEye, une grande entreprise américaine de cybersécurité avec des contrats gouvernementaux et commerciaux. Dans une déclaration publiée ici sur Facebook, le ministère russe des Affaires étrangères a décrit les allégations comme une autre tentative non fondée des médias américains de blâmer la Russie pour des cyberattaques contre des agences américaines.
«Les gens familiarisés avec la question» disent que «la Russie est considérée comme responsable». Eh bien, certains enfants habitués aux dents bancales croient en l’existence de la « petite souris » qui apporte des cadeaux. Sur quoi repose cette «croyance» ?
Associated Press a rendu compte de l’aspect plus large des intrusions et a également accusé la Russie :
Des pirates informatiques ont fait irruption dans les réseaux des départements du Trésor et du Commerce dans le cadre d'une campagne mondiale de cyberespionnage d'un mois révélée dimanche, quelques jours à peine après que l'éminente société de cybersécurité FireEye ait déclaré qu'elle avait été violée lors d'une attaque qui, selon les experts du secteur, portait les caractéristiques de l'artisanat russe.
J’ai lu l’analyse technique détaillée de FireEye et Microsoft sur l’intrusion et jeté un coup d’œil au code. En tant que (ancien) professionnel de l’informatique très familier avec la gestion de réseau, je n’y ai rien vu qui pointe vers la Russie. Qui sont ces «experts de l’industrie» qui font des affirmations aussi infondées ?
En réponse à ce qui pourrait être une pénétration à grande échelle des agences gouvernementales américaines, la branche de cybersécurité du Department of Homeland Security a publié une directive d'urgence appelant toutes les agences civiles fédérales à parcourir leurs réseaux à la recherche d'une intrusion. La menace provenait apparemment de la même campagne de cyberespionnage qui a affecté FireEye, les gouvernements étrangers et les grandes entreprises, et le FBI a enquêté. "Cela peut devenir l'une des campagnes d'espionnage les plus percutantes jamais enregistrées", a déclaré l'expert en cybersécurité Dmitri Alperovitch.
Ah bon ! Associated Press a parlé à Alperovitch, l’ancien directeur technique de la société de cybersécurité CrowdStrike. L’entreprise qui, en 2016, a affirmé que la Russie avait volé des e-mails au Conseil national démocrate (DNC), mais n’a pu en fournir aucune preuve au FBI. La société qui a admis, dans son témoignage au Congrès, qu’elle n’avait vu aucune exfiltration de courriels de la DNC et n’avait aucune preuve que la Russie était impliquée. Alperovitch est également «l’expert de l’industrie» qui a prétendu à tort que la Russie avait piraté une application utilisée par l’artillerie ukrainienne. Le même Alperovich qui est Senior Fellow de l’organisation de lobbying anti-russe Atlantic Council. Alperovitch n’a apparemment jamais vu de bogue logiciel ou de malware qui n’ait pas été fabriqué par la Russie.
Citant une version antérieure de l’histoire Associated Press ci-dessus, Max Abrams a prédit :
Max Abrahms @MaxAbrahms - 3:20 UTC · 14 déc.2020 «Le gouvernement américain n'a pas identifié publiquement la Russie comme la coupable des piratages, signalés pour la première fois par Reuters, et n'a pas dit grand-chose sur qui pourrait être responsable.» Vous savez que cette histoire sera racontée car les 17 agences de renseignement sont à 100% certaines que Poutine est derrière elle.
Cela est en effet susceptible de se produire.
Même s’il n’y a aucun indice sur l’origine du logiciel d’intrusion, tous les médias ont commencé à blâmer la Russie.
Dimanche, dans son premier rapport sur l’attaque, le New York Times titrait « Des pirates informatiques russes ont fait irruption dans des agences fédérales, selon les soupçons de responsables américains »
Son propagandiste en chef David Sanger a écrit :
L'administration Trump a reconnu dimanche que les pirates agissant au nom d'un gouvernement étranger - presque certainement une agence de renseignement russe, selon des experts fédéraux et privés - ont fait irruption dans un ensemble de réseaux gouvernementaux clés, y compris dans les départements du Trésor et du Commerce, et avaient accès à leurs systèmes de messagerie. ... La nouvelle de la brèche, déjà rapportée par Reuters, est intervenue moins d'une semaine après que l'Agence de sécurité nationale (NSA), chargée de s'introduire dans les réseaux informatiques étrangers, et de défendre les systèmes de sécurité nationale américains les plus sensibles, a émis un avertissement selon lequel «des acteurs parrainés par l'État russe» exploitaient les failles d'un système largement utilisé par le gouvernement fédéral.
Cet avertissement de la NSA concernait une vulnérabilité connue dans VMware, un problème logiciel totalement indépendant des intrusions que FireEye avait détectées et qui ciblait plusieurs agences gouvernementales.
Ne se souciant pas des faits, le NYT a continué ses insinuations :
À l'époque, la NSA a refusé de donner plus de détails sur ce qui avait motivé l'avertissement urgent. Peu de temps après, FireEye a annoncé que des pirates informatiques travaillant pour un État avaient volé certains de ses outils précieux pour chercher des vulnérabilités dans les systèmes de ses clients - y compris ceux du gouvernement fédéral. Cette enquête a également pointé vers le SVR, l’une des principales agences de renseignement de Russie. Il est souvent appelé Cozy Bear ou A.P.T. 29, et il est connu comme un collecteur traditionnel de renseignements.
Non, l’enquête de FireEye ne pointe dans aucune direction. La société n’a pas nommé d’acteur présumé et n’a pas du tout mentionné la Russie ou le SVR. L’intrusion n’est d’ailleurs en aucun cas similaire à ces tentatives de phishing que certains ont nommées Cozy Bear ou APT 29.
Le Times se discrédite ensuite davantage en citant le cinglé anti-russe Alperovich.
Lundi, un autre article du NYT, co-écrit par Sanger, décrit l’attaque plus large et inclut le mot «Russie» 23 fois ! Mais il ne fournit aucune preuve de l’implication de la Russie dans l’affaire. Le mieux qu’il a trouvé est ceci :
Les premières évaluations des intrusions - censées être l'œuvre du S.V.R. russe, successeur du K.G.B. - suggèrent que les pirates étaient très sélectifs quant aux victimes qu'ils exploitaient pour un accès ultérieur et le vol des données
« suggèrent que » … la petite souris existe ?
L’article insinue également à tort que FireEye a lié l’attaque à la Russie :
FireEye a déclaré que malgré leur large accès, les pirates russes n'exploitaient que ce qui était considéré comme les cibles les plus précieuses.
Nulle part FireEye n’a dit quoi que ce soit sur les hackers russes. Il a seulement déclaré que les intrusions étaient spécifiquement ciblées. L’implication de la Russie ne s’est produite que dans la tête des journalistes du NYT.
Reuters rapporte aujourd’hui :
Lundi, SolarWinds a confirmé qu'Orion - son logiciel de gestion de réseau phare - avait servi de véhicule involontaire à une vaste opération internationale de cyberespionnage. Les pirates ont inséré du code malveillant dans les mises à jour logicielles d'Orion diffusées auprès d'environ 18 000 clients. Et bien que le nombre d'organisations touchées soit considéré comme beaucoup plus modeste, les pirates informatiques ont déjà mis à profit leur accès avec la violation du Trésor américain et du département du Commerce. Trois personnes proches de l'enquête ont déclaré à Reuters que la Russie était l'un des principaux suspects, bien que d'autres proches de l'enquête aient déclaré qu'il était encore trop tôt pour le dire.
Pour l’instant, personne d’autre que les auteurs de l’intrusion ne sait d’où elle vient.
SolarWinds, la société à l’origine du logiciel de gestion de réseau qui a déjà abusé des agences et des entreprises, est connue pour son manque de sécurité :
La sécurité de SolarWinds, quant à elle, fait l’objet d’un nouvel examen. Dans un problème non signalé auparavant, plusieurs criminels ont proposé de vendre l'accès aux ordinateurs de SolarWinds via des forums clandestins, selon deux chercheurs qui ont séparément eu accès à ces forums. L'un de ceux offrant un accès revendiqué au forum Exploit en 2017 était connu sous le nom de «fxmsp» et est recherché par le FBI «pour son implication dans plusieurs incidents très médiatisés», a déclaré Mark Arena, directeur général de la société de renseignement sur la cybercriminalité Intel471. Arena a informé les clients de son entreprise, notamment les services répressifs américains. Le chercheur en sécurité Vinoth Kumar a déclaré à Reuters que, l'année dernière, il avait alerté l'entreprise que n'importe qui pouvait accéder au serveur de mise à jour de SolarWinds en utilisant le mot de passe «solarwinds123» "Cela aurait pu être fait par n'importe quel attaquant, facilement", a déclaré Kumar.
Et c’est tout.
Tout acteur important disposant des ressources nécessaires aurait pu utiliser le mot de passe SolarWinds publiquement connu pour infester des logiciels malveillants dans le processus de mise à jour du logiciel Orion afin de s’introduire chez les clients de SolarWinds et les espionner. Sans autre preuve définitive, il n’y a aucune raison d’attribuer les intrusions à la Russie.
Si quelqu’un est à blâmer, c’est sûrement SolarWinds qui n’a rien appris de l’attaque. Lundi soir, quelques jours après avoir été prévenu, son logiciel infecté était toujours disponible sur ses serveurs. Il semble que les gens de SolarWinds étaient occupés par des problèmes plus importants que la sécurité de leurs clients :
Les principaux investisseurs de SolarWinds, la société basée au Texas dont le logiciel a été piraté lors d'une cyberattaque majeure par la Russie, ont vendu des millions de dollars en actions dans les jours précédant la révélation de l'intrusion. Le moment des transactions soulève la question de savoir si les investisseurs ont utilisé des informations privilégiées pour éviter des pertes importantes liées à l'attaque. Le cours de l'action de SolarWinds a chuté d'environ 22% depuis que la société a révélé son rôle dans la faille dimanche soir.
Notez l’utilisation occasionnelle de «cyberattaque russe», pour laquelle il n’y a aucune preuve, dans la toute première phrase.
Silver Lake, un investisseur de la Silicon Valley avec une histoire d'accords technologiques de haut niveau, notamment avec Airbnb, Dell et Twitter, a vendu 158 millions de dollars d'actions de SolarWinds le 7 décembre - six jours avant que la nouvelle de la violation ne devienne publique. Thoma Bravo, une société de capital-investissement basée à San Francisco, a également vendu 128 millions de dollars de ses actions dans SolarWinds le 7 décembre. Ensemble, les deux sociétés d’investissement détiennent 70% de SolarWinds et contrôlent six des sièges du conseil d’administration de la société, ce qui leur donne accès à des informations clés et soumet leurs transactions boursières aux règles fédérales relatives aux divulgations financières.
Eh alors ? Ça vous étonne que les escrocs escroquent …
Et les journalistes traditionnels «occidentaux» blâmeront la Russie pour tout ce qui est complètement indépendant de ce qui s’est réellement passé.
Moon of Alabama
Traduit par jj, relu par Wayan pour le Saker Francophone
Source: Lire l'article complet de Le Saker Francophone