Passer au contenu

Les pirates de Cozy Bear à l’origine d’une attaque informatique de grande ampleur aux États-Unis

Le groupe de pirates russes Cozy Bear, alias APT29, a de nouveau frappé un grand coup en s’attaquant aux Départements américains du Commerce et des Finances, grâce à un malware diffusé au sein du logiciel Orion de SolarWinds.

Crédit : TheDigitalWay, Pixabay
Crédit : TheDigitalWay, Pixabay

Les hackers de Cozy Bear ont beaucoup fait parler d’eux ces derniers mois. On les retrouvait ainsi derrière les tentatives d’effraction dans les systèmes informatiques de labos de recherche sur le vaccin contre la COVID-19 cet été. Plus récemment, ils sont parvenus à faire diffuser un malware dans le logiciel Orion, qui sert à l’administration réseau. L’éditeur SolarWinds compte le gouvernement américain parmi les utilisateurs d’Orion.

Vol d’informations sensibles

Les départements du Trésor et du Commerce ont été les victimes du malware, qui crée une porte dérobée baptisée Sunburst. Cela permet aux pirates de consulter et de récupérer des informations sensibles comme des e-mails. Et ces deux ministères ne sont sans doute pas les seuls touchés, le Pentagone utilisant lui aussi des solutions Orion, tout comme les ministères des Anciens combattants, de la Santé, de l’Énergie, de la Sécurité intérieure (dont la Cybersecurity and Infrastructure Security Agency), ainsi que le FBI.

Les hackers d’APT29 peuvent donc, potentiellement, accéder à beaucoup de secrets et de données confidentielles. Devant l’ampleur de cette faille majeure, Microsoft, FireEye (qui a le premier annoncé avoir été victime de cette nouvelle attaque de Cozy Bear) et GoDaddy ont mis au point un « kill switch », un coupe-circuit, pour bloquer Sunburst. Malheureusement, ce système ne sera d’aucune aide pour les organisations déjà touchées : les pirates ayant pu pénétrer par effraction dans les serveurs des administrations américaines y ont sans doute déjà installé des outils persistants.

SolarWinds compte en tout 18.000 clients qui ont téléchargé la version d’Orion contenant le malware, en mars et en juin de cette année. Preuve que les pirates voient loin et prévoient leurs attaques sur le long terme. L’éditeur explique néanmoins que les effractions ne sont pas automatiques : les hackers ont beaucoup de travail pour parvenir à exploiter cette porte dérobée.

APT29 n’est pas n’importe qui. Depuis des années, ce groupe de pirates fait régner la terreur sur les serveurs des grandes entreprises, des organisations gouvernementales, des partis politiques, etc. Il serait affilié aux services de renseignements russes, le FSB, supervisé de près par Vladimir Poutine le président du pays.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

3 commentaires
  1. Bel article, il y a la totale : Cozy bear, APT29, russes, FSB, Poutine…

    A ce jour, on ne sait pas qui a mis en place ce piratage massif. On sait qu’il s’agit d’une organisation puissante (donc probablement un état) vu la logistique nécessaire à cette attaque. Mais rien pour l’instant ne dit que c’est la Russie. C’est M. Pompeo (ministre des affaires étrangères USA) qui a désigné les Russes sur un plateau télé, on est dans le jeu politique, pas dans la vérité…
    Les Chinois peuvent aussi être derrière l’attaque, tout comme les Allemands ou certaines grosses structures privées.

  2. J’entends bien qu’il ne faille pas désigner trop vite un coupable dans ce domaine par excellence opaque. Cela étant, l’activisme russe dans ce domaine de la cyber-guerre est aujourd’hui parfaitement documenté. il y donc de fortes chances qu’il s’agisse d’action mandatées par l’Etat russe. Cela étant, la Chine est tout pareillement très bien dotée dans ce domaine que l’Occident a baptisé Advanced Permanent Threat.
    Les plateformes black hat russes sont également redoutables d’autant que l’Etat laisse faire tant que les hackés sont de vils capitalistes occidentaux, soit l’ennemi systémique désigné il y a quelques semaines par Poutine

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode