© Pixabay
© Pixabay

Le site SolarLeaks hébergeraient des données qui correspondraient aux codes sources issus de produits de certaines des victimes de l'attaque, comme Microsoft et FireEye.

Chaque jour apporte son lot de nouveautés après la rocambolesque attaque contre SolarWinds, que l'entreprise a annoncée il y a très exactement un mois, le 13 décembre 2020. Kaspersky a identifié une première backdoor, avec le cheval de Troie Sunburst propulsé par Kazuar, tandis que CrowdStrike a découvert un autre malware, Sunspot, lui aussi inséré dans le code source de Orion, le logiciel de l'entreprise SolarWinds, qui fut la cible des pirates.

Des codes sources de Microsoft pour 600 000 dollars

Les hackers commencent désormais à "s'amuser" avec leurs victimes. Un site internet, solarleaks.net, héberge de larges fichiers prétendument issus de l'attaque de SolarWinds. Le groupe qui gère ce site web prétend vendre des données provenant de Microsoft, FireEye, Cisco et SolarWinds, quelques-unes des grandes entreprises et structures (18 000 au total) qui ont été touchées en tant qu'utilisatrices du logiciel Orion.

Sur le site SolarLeaks, les pirates affirment d'abord vendre des codes sources et référentiels provenant de Microsoft, pour 600 000 dollars. Il y en a, ici, pour 2,6 Go de fichiers.

On retrouve aussi, sur le site, des codes sources de produits Cisco et un outil interne de gestion de failles, pour 1,7 Go de fichiers. Le tout pour 600 000 dollars. Comme Microsoft, Cisco a reconnu avoir été touchée et a admis l'existence de ce site. Mais l'entreprise américaine affirme, pour le moment, ne disposer "d'aucune preuve de vol de propriété intellectuelle" et promet de communiquer en toute transparence si de nouvelles informations remontent. En attendant, Cisco a isolé et supprimé les installations Orion qui étaient actives pour la gestion et la surveillance de son réseau d'entreprise.

Le site internet met également en vente des outils, de la documentation et des codes sources de FireEye à un tarif cependant plus "accessible" (les guillemets sont de rigueur), à 50 000 dollars, en raison de données sans doute moins intéressantes (36 Mo). Pour 250 000 dollars, solarleaks.net propose le code source de SolarWinds et des données de clients.

Les hackers promettent de nouvelles révélations

Les pirates informatiques, qui seraient issus de Russie, proposent des tarifs plutôt élevés, et même un pack permettant, pour un million de dollars, d'obtenir toutes les données dérobées présentes sur le site. Et il faut bien comprendre que les informations dévoilées ne sont pas exhaustives. D'autres suivront prochainement. Les hackers l'indiquent, mais aussi l'ampleur de l'attaque, dont on devra encore déplorer les conséquences pendant plusieurs semaines, voire plusieurs mois.

Quoi qu'il en soit, le monde de la cybersécurité fait un parallèle intéressant et pertinent entre les actions menées par les pirates derrière SolarLeaks et l'affaire passée des Shadow Brokers, un groupe de hackers qui, en 2016, avait dévoilé des outils de piratages dérobés auprès de la NSA. Mais cela ressemblerait davantage à un petit tour de passe-passe.

Le domaine solarleaks.net est enregistré sur le service d'anonymisation Njalla, connu pour être utilisé par Fancy Bear et Cozy Bear, des groupes d'attaquants russes. Le spécialiste en cybersécurité Jake Williams confirme qu'aucune donnée de renseignement ne figure sur le site pirate et que le prix des données hébergées sur SolarLeaks est plus ou moins fantaisiste, affirmant que la motivation première du site ne serait donc pas l'argent, car sinon les données auraient été vendues à un prix moins élevé.