Autodesk révèle avoir été ciblé par les pirates russes qui ont visé les serveurs SolarWinds

0

Autodesk a confirmé avoir été également ciblé par les pirates informatiques russes à l’origine de l’attaque à grande échelle de la chaîne d’approvisionnement SolarWinds Orion, près de neuf mois après avoir découvert qu’un de ses serveurs était infecté avec le malware Sunburst.

La société américaine de logiciels et de services fournit à des millions de clients des secteurs de la conception, de l’ingénierie et de la construction des outils de CAO (conception assistée par ordinateur), de dessin et de modélisation 3D.

« Nous avons identifié un serveur SolarWinds compromis et avons rapidement pris des mesures pour contenir et corriger les incidents », a déclaré Autodesk dans un récent dossier 10-Q SEC.

« Bien que nous pensons qu’aucune opération client ou produit Autodesk n’a été perturbé à la suite de cette attaque, d’autres attaques similaires pourraient avoir un impact négatif important sur nos systèmes et nos opérations. »

Un porte-parole d’Autodesk a déclaré que les attaquants n’avaient déployé aucun autre logiciel malveillant à part la porte dérobée Sunburst, probablement parce qu’il n’avait pas été sélectionné pour une exploitation secondaire ou que les pirates informatiques n’avaient pas agi assez rapidement avant d’être détectés.

« Autodesk a identifié un serveur SolarWinds compromis le 13 décembre. Peu de temps après, le serveur a été isolé, les logs ont été collectés pour une analyse médico-légale et le correctif logiciel a été appliqué », a déclaré le porte-parole.

« L’équipe de sécurité d’Autodesk a terminé son enquête et n’a observé aucune activité malveillante au-delà de l’installation initiale du logiciel. »

L’une des nombreuses entreprises de technologie dans une brèche à grande échelle

L’attaque de la chaîne d’approvisionnement qui a conduit à la violation de l’infrastructure de SolarWinds a été coordonnée par la division de piratage du service russe de renseignement étranger (alias APT29, The Dukes ou Cozy Bear).

Après avoir eu accès aux systèmes internes de l’entreprise, les attaquants ont utilisé un cheval de Troie pour le code source et les builds de la plate-forme logicielle Orion publiés entre mars 2020 et juin 2020.

Ces versions malveillantes ont ensuite été utilisées pour fournir une porte dérobée suivie en tant que Sunburst à « moins de 18 000 », mais, heureusement, les pirates informatiques n’ont choisi qu’un nombre nettement inférieur de cibles pour une exploitation de deuxième étape.

À la suite de cette attaque contre la chaîne d’approvisionnement, les pirates informatiques de l’État russe ont eu accès aux réseaux de plusieurs agences fédérales américaines et d’entreprises privées du secteur technologique.

Avant que l’attaque ne soit divulguée, SolarWinds a déclaré avoir 300 000 clients dans le monde [1, 2], dont les dix premières sociétés de télécommunications américaines.

La liste des clients de l’entreprise incluait également une longue liste d’agences gouvernementales (l’armée américaine, le Pentagone, le département d’État, la NASA, la NSA, le service postal, la NOAA, le ministère américain de la Justice et le bureau du président des États-Unis ).

Fin juillet, le ministère américain de la Justice était la dernière entité du gouvernement américain à révéler que 27 bureaux d’avocats américains avaient été piratés lors de la vague de piratage mondial de SolarWinds de l’année dernière.

SolarWinds a déclaré des dépenses de 3,5 millions de dollars pour faire face à l’attaque de la chaîne d’approvisionnement de l’année dernière en mars 2021, y compris les coûts de remédiation et d’enquête sur les incidents.

Laisser un commentaire