Microsoft attribue la nouvelle attaque SolarWinds à un groupe de hackers chinois

Le Threat Intelligence Center (MSTIC) de Microsoft a rapporté mardi que le logiciel SolarWinds a été attaqué avec un exploit zero-day par un groupe de pirates qu’il appelle « DEV-0322 ». Les pirates se sont concentrés sur le logiciel FTP Serv-U de SolarWinds, dans le but présumé d’accéder aux clients de l’entreprise dans l’industrie de la défense américaine.

L’attaque zero-day a été repérée pour la première fois dans une analyse de routine de Microsoft 365 Defender. Le logiciel a remarqué un « processus malveillant anormal » que Microsoft explique plus en détail dans son blog, mais il semble que les pirates tentaient de se faire administrateurs Serv-U, entre autres activités suspectes.

SolarWinds a signalé l’exploit zero-day le vendredi 9 juillet, expliquant que toutes les versions de Serv-U du 5 mai et des versions antérieures contenaient la vulnérabilité. La société a publié un correctif pour résoudre le problème et l’exploit a depuis été corrigé, mais Microsoft écrit que si le protocole Secure Shell (SSH) de Serv-U se connectait à Internet, les pirates pourraient « exécuter à distance du code arbitraire avec des privilèges, leur permettant de effectuer des actions comme installer et exécuter des charges utiles malveillantes, ou afficher et modifier des données. Toute personne exécutant un ancien logiciel Serv-U est encouragée à le mettre à jour dès que possible.

Le premier piratage qui a propulsé SolarWinds sous les projecteurs en décembre 2020 a exposé des centaines d’agences gouvernementales et d’entreprises. Contrairement au piratage précédent, qui est désormais largement connecté à un groupe de pirates affiliés à l’État russe appelé Cozy Bear, Microsoft affirme que cette attaque zero-day est originaire de Chine. DEV-0322 a pris l’habitude d’attaquer « les entités du secteur américain de la base industrielle de défense », écrit Microsoft, et est connu pour « utiliser des solutions VPN commerciales et des routeurs grand public compromis dans leur infrastructure d’attaquant ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*