James Steidl - Fotolia

SolarWinds, ce que l’on sait des attaques à ce jour

Les attaques SolarWinds ont considérablement affecté la cybersécurité de nombreuses organisations à travers le monde. Et l’ampleur de la menace pourrait bien seulement commencer à être appréhendée.

Il reste de nombreuses questions sans réponse sur les attaques SolarWinds, l’ampleur et l’impact de ces attaques ont été graduellement mis en lumière depuis la mi-décembre, mais il pourrait bien y avoir plus encore.

Le dimanche 13 décembre, l’éditeur SolarWinds s’est déclaré victime d’une attaque « hautement sophistiquée » qui a conduit à la compromission des versions 2019.4 HF5 à 2020.2.1 de sa plateforme Orion, lancées entre mars et juin derniers, par une porte dérobée, désormais appelée Sunburst, ou Solorigate. Cette plateforme compte parmi les incontournables de l’administration d’infrastructures d’informations. Ce qui rend cette attaque par rebond d’autant plus redoutable.

La première victime confirmée de cette porte dérobée a été FireEye, qui a révélé le 8 décembre avoir été compromis par des pirates informatiques suspectés d’opérer pour le compte d’un État-nation. Mais il a rapidement été découvert que les attaques SolarWinds avaient touché d’autres organisations, notamment des géants de l’IT et des administrations publiques. Heureusement, la menace immédiate a depuis été atténuée par une réponse rapide de plusieurs organisations, ainsi que par un « kill switch » créé par Microsoft et FireEye.

Au cours des dernières semaines, d’autres développements ont permis de mieux comprendre la nature des attaques. Voici un aperçu de certains de ces développements récents.

27 janvier 2021 – De nouveaux acteurs concernés

Plusieurs nouveaux acteurs de l'industrie IT apparaissent avoir été concernés par la campagne d'attaque liée à SolarWinds. Et cela commence notamment avec Qualys, qui a indiqué à Forbes ne pas avoir été victime d'exfiltration de données. Fidelis Security indique continuer d'enquêter. 

20 janvier 2021 – Microsoft poursuit son analyse de l'attaque

Dans un billet de blog, les experts de l'éditeur expliquent que les assaillants « ont fait tout leur possible » pour séparer deux éléments clés de l'attaque « afin d'échapper à la détection ». Les équipes de Microsoft se sont appuyées pour cela sur « la puissante optique interdomaine de Microsoft 365 Defender pour obtenir une visibilité sur l'ensemble de la chaîne d'attaque en une vue complète et consolidée ».

19 janvier 2021 – Malwarebytes déclare avoir été visé

L’éditeur de solutions de protection des serveurs et postes de travail indique avoir également été visé par l’assaillant impliqué dans la campagne SolarWinds. Dans un billet de blog, il explique avoir trouvé des indications de détournement d’accès à privilèges à des environnements Microsoft Office 365 et Azure. Et cela bien qu’il n’utilise pas SolarWinds Orion. Mais les techniques, tactiques et procédures correspondent.

Fort de cette découverte, l’éditeur indique s’être penché sur ses systèmes internes et n’avoir pas trouvé d’indication d’accès non autorisé à son code source ni à ses processus de compilation et de livraison, tant sur ses systèmes en local que sur ses environnements de production.

18 janvier 2021 – Un maliciel supplémentaire

Les équipes de Symantec publient un billet de blog évoquant une nouvelle porte dérobée liée aux attaques SolarWinds, qu’elles appellent Raindrop. Celle-ci délivre une charge utile Cobalt Strike et apparaît très « similaire à l’outil déjà documenté Teardrop », malgré « quelques différences clés » : si le second était délivré dans la foulée de Sunburst, le premier ne semble pas lié, du moins pas directement.  

11 janvier 2021 – SolarWinds met à jour sa chronologie de l’attaque

Le PDG de SolarWinds, Sudhakar Ramakrishna, publie une mise à jour qui confirme que l’attaque a commencé en septembre 2019, lorsque les assaillants ont eu accès à un environnement de développement interne pour la plateforme logicielle Orion.

Il précise que les enquêteurs ont découvert « une source d’injection de code malveillant très sophistiquée et inédite » sur le serveur de développement. CrowdStrike, qui assiste SolarWinds dans l’enquête et la réponse à incident, a publié le 11 janvier un rapport fournissant des détails supplémentaires sur le malware d’injection de code, qu’il a baptisé Sunspot.

Parallèlement, Kaspersky fait état de liens entre la porte dérobée Sunburst et une autre, appelée Kazuar. Selon Palo Alto Networks, cette dernière serait le fruit du travail du groupe APT Turla – aussi appelé Uroburos ou encore Venomous Bear.

7 janvier 2021 – SolarWinds sollicite Chris Krebs et Alex Stamos

SolarWinds fait appel à un nouveau cabinet de conseil, créé par Chris Krebs, ancien directeur de l’agence américaine en charge de la cybersécurité et de la sécurité des infrastructures, la CISA, et Alex Stamos, ancien RSSI de Facebook, pour l’aider à répondre à l’attaque. Le Financial Times en a fait mention le premier, le 7 janvier, avant que l’information en soit confirmée par Chris Krebs et Alex Stamos le lendemain.

Le cabinet de conseil, le Krebs Stamos Group, a été fondé pour « aider les entreprises à gérer le risque de cybersécurité comme un risque commercial, en rendant l’Internet plus sûr, entre-temps », revendique Chris Krebs.

Sur Twitter, Alex Stamos a affirmé leur engagement à « aider à comprendre et à se remettre de ce qui semble être l’une des plus graves campagnes d’intrusion étrangère de l’histoire, et nous aiderons d’autres personnes à tirer les leçons de cette attaque ».

6 janvier 2021 – le ministère américain de la Justice confirme une compromission

Le porte-parole du ministère américain de la Justice, le DOJ, Marc Raimondi, publie une déclaration révélant que les assaillants derrière les attaques de SolarWinds ont accédé à l’environnement de messagerie électronique Office 365 du DOJ. Et de souligner que cette activité était inconnue jusqu’au 24 décembre 2020.

« Le 24 décembre 2020, le Bureau du Directeur de l’Information du ministère de la Justice (OCIO) a appris l’existence d’une activité malveillante inconnue jusqu’alors, liée à l’incident mondial SolarWinds, qui a touché de nombreuses agences fédérales et des entreprises IT, entre autres. Cette activité impliquait l’accès à l’environnement de messagerie électronique Microsoft O365 du ministère », peut-on lire dans la déclaration.

Selon Marc Raimondi, les assaillants ne devraient pas avoir pu accéder à plus d’environ 3 % des boîtes de messagerie concernées, et aucun système classifié n’aurait été affecté.

5 janvier 2021 - Le gouvernement américain reconnaît l’implication probable de la Russie

Le FBI, la CISA, le Bureau du directeur du renseignement national américain (ODNI) et la NSA publient une déclaration commune pour le groupe de coordination cybernétique (UCG) soutenu par le président Trump. Ce groupe de travail a été formé en décembre pour enquêter sur l’attaque SolarWinds et y remédier.

Pour la première fois, le gouvernement américain suggère publiquement que des attaquants russes sont responsables de l’opération : « ce travail indique qu’un acteur de la menace persistante avancée (APT), probablement d’origine russe, est responsable de la plupart ou de la totalité des cybercompromissions récemment découvertes et en cours, de réseaux gouvernementaux et non gouvernementaux. Pour l’instant, nous pensons qu’il s’agissait, et qu’il s’agit toujours, d’un effort de collecte de renseignements. Nous prenons toutes les mesures nécessaires pour comprendre toute la portée de cette campagne et y répondre en conséquence ».

En outre, la déclaration précise que moins de dix agences gouvernementales américaines ont été identifiées parmi les cibles de la campagne à cette date.

31 décembre 2020 – Microsoft se dit affecté

Le Security Response Center de Microsoft publie un billet de blog faisant le point sur son enquête sur le malware Sunburst (appelé Solorigate par l’éditeur), utilisé dans l’attaque de SolarWinds. Le billet révèle qu’un compte interne vraisemblablement frauduleux a été utilisé pour « consulter du code source dans un certain nombre de dépôts de code source ».

Le billet souligne en gras dans le texte que les données des clients de Microsoft sont avant tout sécurisées : « notre enquête sur notre propre environnement n’a trouvé aucune preuve d’accès aux services de production ou aux données des clients. L’enquête, qui est en cours, n’a également trouvé aucune indication que nos systèmes aient été utilisés pour attaquer d’autres personnes ».

Le billet poursuit en disant que si les applications malveillantes de SolarWinds ont été détectées en interne puis supprimées, l’enquête a mis en évidence une activité inhabituelle dans un petit nombre de comptes, notamment la consultation du code source susmentionné.

Selon Microsoft, la consultation de son code source par des tiers ne fait pas émerger de risque additionnel, car son modèle de sécurité « suppose que les attaquants ont connaissance du code source ».

29 décembre 2020 – SolarWinds avertit qu’il pourrait y avoir d’autres victimes

SolarWinds évoque, dans une déclaration, son « engagement à coopérer » : « en réponse à cette attaque, nous soutenons nos clients, nous renforçons nos produits et nos systèmes, nous travaillons avec des experts tiers en cybersécurité, et nous collaborons avec nos partenaires, nos fournisseurs, les forces de l’ordre et les agences de renseignement du monde entier ».

En outre, le premier paragraphe de la déclaration fait référence à d’autres victimes potentielles, bien qu’il ne suggère aucune connaissance interne (à la date de sa publication) confirmant de telles cibles.

24 décembre 2020 – SolarWinds évoque à la porte dérobée Supernova

L’éditeur publie un avis de sécurité actualisé concernant la deuxième porte dérobée découverte par les chercheurs de Palo Alto Networks, surnommée Supernova.

L’enquête de SolarWinds a montré que Supernova nécessitait l’exploitation d’une vulnérabilité dans la plateforme logicielle Orion, que le fournisseur a corrigée dans les dernières mises à jour, en plus d’un webshell .Net.

De plus, l’éditeur indique que contrairement à Sunburst, Supernova n’était pas le résultat d’une attaque sur la chaîne logistique : « Supernova n’est pas un code malveillant intégré dans les fondements de notre plateforme Orion comme une attaque par rebond. C’est un maliciel qui est placé séparément sur un serveur qui nécessite un accès non autorisé au réseau d’un client et qui est conçu pour sembler faire partie d’un produit SolarWinds ».

18 décembre 2020 – Plusieurs entreprises IT confirment être affectées

Plusieurs acteurs majeurs de l’IT, dont Cisco, Intel et VMware, confirment avoir été affectés par les mises à jour empoisonnées de SolarWinds. Mais ils assurent n’avoir trouvé aucune indication d’exploitation de la porte dérobée Sunburst par des attaquants.

17 décembre 2020 – une seconde porte dérobée

Palo Alto Networks publie un apport sur une deuxième porte dérobée, appelée Supernova et découverte à l’intérieur de la plateforme Orion de SolarWinds. Au cours d’une analyse d’artefacts d’Orion utilisés dans les attaques Sunburst, les chercheurs de Palo Alto Networks ont découvert un fichier DLL .NET sophistiqué qui permettait aux assaillants de configurer arbitrairement les plateformes Orion et d’exécuter du code malveillant sur les systèmes vulnérables. Peut-être plus important encore, les chercheurs estiment que la porte dérobée Supernova a été implantée par des acteurs différents de ceux qui ont mené les premières attaques que Palo Alto Networks appelle SolarStorm.

Pour approfondir sur Menaces informatiques

Close