La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié des directives détaillant les étapes que les organisations touchées par l’attaque SolarWinds devraient prendre pour s’assurer qu’elles expulsent les attaquants des environnements compromis.

La campagne sophistiquée de cyberespionnage, qui a été mise au jour en décembre 2020, a abusé du logiciel de surveillance informatique Orion de SolarWinds à des fins de compromission initiale et a affecté plusieurs agences gouvernementales aux États-Unis, des fournisseurs de sécurité et diverses autres organisations.

En avril, les États-Unis ont attribué l’attaque au service russe de renseignement extérieur (SVR), expulsé 10 diplomates russes et annoncé des sanctions contre de nombreuses entités.

Conçu pour les agences fédérales qui ont utilisé les versions concernées de SolarWinds Orion et qui ont découvert des activités adverses dans leurs environnements (agences de catégorie 3), le rapport d’analyse nouvellement publié, AR21-134A, détaille les étapes gourmandes en ressources et très complexes qui nécessiteront la déconnexion du réseau de l’entreprise. depuis Internet pendant trois à cinq jours.

«Afin d’avoir un soutien de haut niveau pleinement informé, CISA recommande que la haute direction de l’agence organise des séances de planification tout au long de ce processus pour comprendre les ressources nécessaires et toute perturbation potentielle des opérations commerciales», a déclaré CISA.

Les infrastructures critiques, les organisations gouvernementales et les entités du secteur privé sont encouragées à examiner et à appliquer les directives, à expulser les attaquants du réseau et à renforcer la sécurité.

Les plans de remédiation détaillés par CISA incluent des actions pour détecter et identifier l’activité de l’adversaire au sein du réseau, des étapes pour supprimer l’attaquant des environnements sur site et cloud, et des actions pour garantir le succès de l’opération d’expulsion.

«La réalisation de chaque étape de ce guide est nécessaire pour expulser complètement l’adversaire des réseaux de catégorie 3. Non-exécution complète et …