L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a déclaré que le groupe APT derrière la récente campagne de compromis ciblant les agences gouvernementales américaines utilisait plus d’un vecteur d’accès initial.

« CISA a des preuves de vecteurs d’accès initial supplémentaires, autres que la plate-forme SolarWinds Orion; cependant, ceux-ci sont toujours à l’étude. CISA mettra à jour cette alerte à mesure que de nouvelles informations seront disponibles », a déclaré l’agence.

« Toutes les organisations qui disposent de la porte dérobée via SolarWinds Orion n’ont pas été ciblées par l’adversaire avec des actions de suivi. »

Difficile à supprimer des réseaux compromis

Le groupe APT, soupçonné d’être l’APT29 (alias Cozy Bear and The Dukes), sponsorisé par l’État russe, était présent sur les réseaux des organisations compromises pendant de longues périodes selon CISA.

En outre, l’agence a déclaré qu’il est très probable que l’acteur de la menace derrière cette campagne de piratage coordonné ait utilisé d’autres tactiques, techniques et procédures (TTP) qui n’ont pas encore été découvertes dans le cadre des enquêtes en cours.

L’agence enquête également actuellement sur des incidents où elle a trouvé des TTP compatibles avec cette activité malveillante en cours, « y compris certains où les victimes n’utilisent pas SolarWinds Orion ou où SolarWinds Orion était présent mais où aucune activité d’exploitation de SolarWinds n’a été observée. »

« La CISA a déterminé que cette menace présente un risque grave pour le gouvernement fédéral et les gouvernements des États, locaux, tribaux et territoriaux ainsi que pour les entités d’infrastructure critique et d’autres organisations du secteur privé », a ajouté le conseiller américain en matière de risque.

«Cet acteur APT a fait preuve de patience, de sécurité opérationnelle et de savoir-faire complexe dans ces intrusions. CISA s’attend à ce que la suppression de cet acteur menaçant des environnements compromis sera extrêmement complexe et difficile pour les organisations.

Détails techniques supplémentaires, y compris des informations sur …