La firme romande Prodaft a pu accéder aux serveurs des pirates de SolarWinds

Basée à Yverdon-les-Bains, la firme de cybersécurité Prodaft fait parler d’elle. Son récent rapport «SilverFish Group Threat Actor Report» lève le voile sur un groupe de cybercriminels lié à la désormais célèbre attaque SolarWinds, probablement l’une des plus massives opérations de cyberespionnage de l’histoire. Prodaft précise ne pas vouloir rattacher ce groupe à d'autres organisations ou Etats et se contente d’évoquer la découverte d’un groupe de cybercriminels très sophistiqué ayant ciblé au moins 4720 grandes entreprises et institutions publiques dans le monde entier. La firme a surnommé ce groupe SilverFish. Elle a pu analyser ses serveurs, qui sont également utilisés par EvilCorp, groupe dans le collimateur du FBI notamment accusé d’opérer le ransomware WastedLocker.

Plus de 200 serveurs identifiés

Selon les spécialistes de l’éditeur antivirus Malwarebytes, l’analyse de Prodaft «donne un aperçu exceptionnellement clair de la taille et de la structure de la cybercriminalité organisée». La firme de cybersécurité a en effet mis au jour une campagne mondiale de cybercriminalité qui utilise des outils sophistiqués, dont son propre bac à sable pour tester les logiciels malveillants. Les chercheurs de Prodaft ont d’abord créé une empreinte digitale unique de l'un des serveurs en utilisant plusieurs paramètres, tels que les logiciels installés. Après avoir scanné le web durant 12 heures, ils ont ensuite identifié plus de 200 autres serveurs présentant une configuration très similaire.

Des victimes de tous secteurs, aux Etats-Unis et en Europe

En se frayant un accès à des serveurs de commande et contrôle, les chercheurs ont pu vérifier les liens avec des victimes de SolarWInds, notamment en identifiant des noms d'utilisateurs et adresses IP. Parmi ces victimes, Prodaft mentionne des agences gouvernementales US, des fournisseurs IT globaux, des fabricants automobiles et aéronautiques, de nombreuses banques américaines et européennes, des réseaux policiers, des départements de santé publique, des entreprises pharmaceutiques ou encore trois des plus grands groupes d'audit et consulting. «Malheureusement, bien qu'il s'agisse de grandes infrastructures critiques, la plupart de leurs cibles ne sont pas conscientes de la présence du groupe SilverFish dans leurs réseaux», avertit Prodaft. L’analyse de la firme révèle en outre que la plupart des membres de SilverFish s'expriment en russe. Rappelons que le Kremlin est suspecté d’être derrière l’attaque SolarWinds.

Dans son rapport, la firme de cybersécurité romande ne dit pas avoir contacté directement les victimes. Elle a en revanche partagé la liste avec les CERT (Computer Emergency Response Team) dans les pays concernés. Plusieurs médias spécialisés ont rapporté que Prodaft travaille aussi avec le FBI et des autorités policières nationales. Contacté par le rédaction, Prodaft dément: «Nous ne collaborons avec aucun organisme d'application de la loi sur cette question et nous n’en avons pas l’intetion car ce n'est pas notre travail. Nous avons partagé nos conclusions avec les IP et les détails des serveurs dans l'optique de recherches plus approfondies.» Prodaft précise avoir réalisé cette analyse car l'une des institutions financières avec laquelle la firme travaille a détecté une violation liée à l'affaire SolarWinds.

Prodaft indique sur son site que son groupe a des bureaux et des partenaires en Suisse, en Argentine, en Turquie, en Roumanie et aux Philippines. «Nous avons plus de 40 employés techniques (de différentes nationalités) et nous travaillons principalement avec des institutions financières, des compagnies d'assurance, des fournisseurs de service internet, des entreprises du secteur de l'aviation et d'autres infrastructures critiques. Nos clients sont principalement issus de la région EMEA», confie l’entreprise à la rédaction.

(Article mis à jour avec les informations fournies à la rédaction par Prodaft).