Le DOJ a détecté le piratage de SolarWinds 6 mois plus tôt que la première divulgation

Un lecteur anonyme cite un rapport de Wired : Le ministère américain de la Justice, Mandiant et Microsoft est tombé sur la violation de SolarWinds six mois plus tôt que prévu, WIRED a appris, mais n’étaient pas conscients de la signification de ce qu’ils avaient trouvé. La brèche, annoncée publiquement en décembre 2020, impliquait des pirates russes compromettant le fabricant de logiciels SolarWinds et insérant une porte dérobée dans le logiciel servi à environ 18 000 de ses clients. Ce logiciel contaminé a ensuite infecté au moins neuf agences fédérales américaines, parmi lesquelles le ministère de la Justice (DOJ), le ministère de la Défense, le ministère de la Sécurité intérieure et le département du Trésor, ainsi que les plus grandes entreprises de technologie et de sécurité, dont Microsoft, Réseaux Mandiant, Intel, Cisco et Palo Alto. Les pirates étaient présents sur ces différents réseaux depuis quatre à neuf mois avant que la campagne ne soit révélée par Mandiant.

WIRED peut maintenant confirmer que l’opération a en fait été découverte par le DOJ six mois plus tôt, fin mai 2020 – mais l’ampleur et l’importance de la violation n’étaient pas immédiatement apparentes. Les soupçons ont été déclenchés lorsque le département a détecté un trafic inhabituel émanant de l’un de ses serveurs qui exécutait une version d’essai de la suite logicielle Orion fabriquée par SolarWinds, selon des sources proches de l’incident. Le logiciel, utilisé par les administrateurs système pour gérer et configurer les réseaux, communiquait en externe avec un système inconnu sur Internet. Le DOJ a demandé à la société de sécurité Mandiant de l’aider à déterminer si le serveur avait été piraté. Il a également engagé Microsoft, bien que l’on ne sache pas pourquoi le fabricant de logiciels a également été impliqué dans l’enquête.

On ne sait pas quelle division du DOJ a été victime de l’infraction, mais des représentants de la Division de la gestion de la justice et du Programme américain d’administration ont participé aux discussions sur l’incident. Le Programme des syndics supervise l’administration des dossiers de faillite et des syndics privés. La Division de la gestion conseille les responsables du DOJ sur la gestion du budget et du personnel, l’éthique, les achats et la sécurité. Les enquêteurs soupçonnaient que les pirates avaient directement pénétré le serveur du DOJ, peut-être en exploitant une vulnérabilité du logiciel Orion. Ils ont contacté SolarWinds pour les aider dans l’enquête, mais les ingénieurs de la société n’ont pas été en mesure de trouver une vulnérabilité dans leur code. En juillet 2020, alors que le mystère n’était toujours pas résolu, la communication entre les enquêteurs et SolarWinds s’est arrêtée. Un mois plus tard, le DOJ a acheté le système Orion, suggérant que le département était convaincu qu’il n’y avait plus de menace posée par la suite Orion, selon les sources. Selon WIRED, le DOJ a déclaré qu’il “a informé l’Agence américaine de cybersécurité et d’infrastructure (CISA) de la violation au moment où elle s’est produite – bien qu’un porte-parole de l’Agence américaine de sécurité nationale ait exprimé sa frustration que l’agence n’ait pas également été informée”.

“Mais en décembre 2020, lorsque le public a appris qu’un certain nombre d’agences fédérales avaient été compromises dans la campagne SolarWinds – dont le DOJ – ni le DOJ ni la CISA n’ont révélé au public que l’opération avait été découverte sans le savoir des mois plus tôt. Le DOJ a initialement déclaré que son directeur de l’information avait découvert la brèche le 24 décembre.”