L’éditeur Kaspersky Lab publie sa propre analyse de l’attaque d’espionnage massive orchestrée à partir d’une altération malveillante du code du logiciel SolarWinds Orion. Et confirme l’origine probablement russe des cyberattaquants.

Rappel: on a découvert en décembre dernier que, durant des mois, des grandes entreprises, des grands fournisseurs de services et des instances gouvernementales ont été espionnés grâce à une porte dérobée (dénommée SunBurst) introduite par des cybercriminels dans le code du très officiel logiciel de supervision SolarWinds Orion. L’ampleur de l’attaque est sans précédent.

En analysant le code source de la porte dérobée Sunburst, les ingénieurs de Kaspersky Lab ont repéré de troublantes similitudes entre cette attaque et une autre célèbre porte dérobée : Kazuar (découverte par Palo Alto Networks en 2017). Ce qui évidemment tourne les regards accusateurs un peu plus encore vers la Russie. Mais si les experts américains qui ont étudié l’attaque pointaient jusqu’ici plutôt du doigt les hackers russes d’APT29 ou Cozy Bear proches du SVR (les services de renseignements extérieurs russes), le groupe de hackers Turla, auteur de Kazuar, est traditionnellement plutôt considéré comme proche du FSB (service fédéral de sécurité).

Pour les analystes de Kasperky, les ressemblances entre les deux portes dérobées sont troublantes mais ne constituent pas une preuve. Il se peut que les groupes de hackers de Kazuar et Sunburst n’aient absolument aucun lien et qu’ils se soient juste appuyés sur un même code source de départ. Il se peut également que certains hackers derrière Kazuar aient changé d’équipe et emporté des codes sources avec eux. Enfin, les hackers de Sunburst ont aussi pu ouvertement s’inspirer de Kazuar pour orienter les regards vers Turla Group et mieux se masquer.

Bref, il va encore falloir d’autres études de cette attaque sophistiquée pour reconstituer le puzzle et en avoir une version plus complète. Nul n’en connaît à coup sûr son origine ni l’ampleur des fuites engendrées mais les soupçons sur la Russie se renforcent et les éléments de preuve s’accumulent.

En 2020, le cyberespionnage international a clairement franchi un nouveau palier. Voilà qui n’est pas de bon augure pour 2021.

A lire également :

> SolarWinds Orion déploie sans le savoir un malware qui infiltre FireEye et des organisations gouvernementales
> Microsoft au cœur de la cyber-tempête Sunburst