L'entreprise au célèbre logiciel de sécurité a affirmé, mardi, avoir été la cible du même acteur caché derrière l'attaque de SolarWinds, alors même qu'elle n'utilise pas les services de l'entreprise.
En toute transparence, Malwarebytes a été ciblé par le même acteur provenant de l'État-nation qui a attaqué SolarWinds, via sa plateforme Orion. C'est le P.-D.G. du service de protection lui-même, Marcin Kleczynski, qui en a fait l'annonce le mardi 19 janvier. La particularité de la situation réside dans le fait que Malwarebytes n'a pas été une victime collatérale de l'attaque du logiciel SolarWinds, qu'il n'utilise pas : le software de détection et de suppression de malwares a bien été ciblé par le même acteur. « Comme de nombreuses autres entreprises », note-t-il par ailleurs.
Les pirates sont passés par les environnements Microsoft Office 365 et Azure
Malwarebytes apporte un peu plus de précisions sur la façon dont les hackers derrière la cyberattaque de SolarWinds ont touché ses réseaux. Le logiciel indique en effet que les pirates sont parvenus à accéder aux environnements Microsoft Office 365 et Azure.
Dans le détail, les attaquants ont eu accès à un sous-ensemble de courriers électroniques internes de l'entreprises, certes en nombre limité. Les services critiques de la firme de sécurité ou la production n'ont, eux, pas été affectés par l'attaque, Malwarebytes n'utilisant pas les services cloud Azure dans ses environnements de production. Et c'est un moindre mal, puisque si cette infrastructure avait été franchie, plusieurs millions de clients auraient potentiellement pu être impactés.
Les premières informations étaient remontées aux oreilles de Malwarebytes autour du 15 décembre, en provenance de la division sécurité de Microsoft, qui relevait une activité suspecte sur le client Office 365 de Malwarebytes, provenant du même acteur que celui impliqué dans les attaques SolarWinds, qui ont touché de nombreuses agences gouvernementales américaines, mais aussi Microsoft, FireEye ou encore Cisco.
Malwarebytes affirme que son service « reste sûr »
Malwarebytes veut rassurer : utiliser son logiciel reste une solution sécurisée, et aucune menace ne pèse sur ses nombreux utilisateurs. Mais le patron de Malwarebytes, Marcin Kleczynski, a lâché un petit message un tantinet alarmant sur Twitter, mardi. « Cette attaque est beaucoup plus large que SolarWinds, et je prévois que d'autres entreprises se présenteront bientôt », prédit-il.
La déclaration n'est pas rassurante, mais elle est conforme à ce que nous redoutions déjà ces derniers jours. Les pirates qui ont dernièrement mis en ligne des codes sources provenant des acteurs Microsoft, FireEye, Cisco et SolarWinds ont eux aussi prévu de faire très bientôt de nouvelles révélations, dans les prochaines semaines, voire les prochains mois.
S'il paraît compliqué de le confirmer à 100 %, plusieurs sources indiquent que des hackers basés en Russie pourraient être à l'origine de ces attaques, sans doute connus sous le nom de Fancy Bear ou Cozy Bear.
Comme FireEye, CrowdStrike et Microsoft avant elle, la société Malwarebytes invite toutes les entreprises de sécurité à partager les informations qu'elles pourraient avoir sur ces attaques complexes.
Source : Malwarebytes
