beebright - stock.adobe.com

SolarWinds : une attaque par rebond particulièrement préoccupante

L’éditeur d’outils de gestion des infrastructures informatiques a été compromis. Pendant plusieurs mois, il a distribué, à son insu, un composant logiciel de sa plateforme Orion contenant une porte dérobée.

Coup de tonnerre dans le monde des systèmes d’information. L’éditeur SolarWinds vient de se déclarer victime d’une attaque « hautement sophistiquée » qui a conduit à la compromission des versions 2019.4 HF5 à 2020.2.1 de sa plateforme Orion, lancées entre mars et juin derniers, par une porte dérobée. Cette plateforme compte parmi les incontournables de l’administration d’infrastructures d’informations.

L’éditeur revendique ainsi près de 300 000 clients à travers le monde. Parmi ceux-ci, on compte notamment Credit Suisse, Faurecia, ING Direct, Level 3 Communications, Nestlé, Swisscom, Volvo, ou encore Cisco, EMC, Ernst & Young, Ford, Hertz et Symantec. Mais l’éditeur revendique plus de 425 entreprises du classement Fortune 500, les 10 principaux opérateurs télécoms américains, les 5 branches de l’armée américaine, le Pentagone, le département d’État, la NASA, la NSAA, le ministère de la Justice, le bureau du président des États-Unis, ainsi que des centaines d’établissements d’enseignement supérieur à travers le monde. L’Agence américaine de la cybersécurité et de la sécurité des infrastructures, la Cisa, n’a pas manqué de réagir en émettant une directive urgente enjoignant « toutes les agences fédérales civiles à examiner leurs réseaux à la recherche de marqueurs techniques et à déconnecter ou éteindre immédiatement les produits SolarWinds Orion ».

Des activités savamment maquillées

Mais FireEye lui-même a confirmé que la cyberattaque qu’il a révélée la semaine dernière, à l’occasion de laquelle il s’est fait dérober des outils offensifs développés en interne, avait été lancée en exploitant ladite porte dérobée présente dans certaines versions de la plateforme Orion de SolarWinds. De quoi apporter un éclairage majeur sur les questions qui avaient été initialement laissées en suspens.

FireEye a appelé cette porte dérobée Sunburst. Celle-ci se trouve dans le composant SolarWinds.Orion.Core.BusinessLayer.dll de la plateforme Orion, signé numériquement par l’éditeur : « elle communique en HTTP avec des serveurs tiers ». Mais tout de suite : « après une période dormante initiale de deux semaines, elle récupère et exécute des commandes ». Parmi celles-ci, on trouve de quoi transférer des fichiers, en exécuter, analyser le système hôte, redémarrer ce dernier, ou encore désactiver des services système.

Dans leur rapport détaillé, les équipes de FireEye expliquent que le code malicieux « maquille son trafic réseau sous l’apparence du protocole du programme d’amélioration Orion, et stocke les résultats de reconnaissance dans des fichiers de configuration de plugins légitimes, qui lui permettent de se fondre dans l’activité légitime de SolarWinds ».

Lancer la chasse à la menace

SolarWinds recommande d’installer la version 2020.2.1 HF1 de sa plateforme Orion. Toutefois, une version HF2 devrait être disponible le 15 décembre. Mais supprimer ainsi la porte dérobée n’est pas suffisant : les assaillants ont eu largement le temps et le loisir de visiter les systèmes d’information ainsi affectés et, au moins pour certains, de s’y assurer une certaine persistance. À titre d’exemple, les opérateurs de Ragnar Locker nous ont récemment indiqué être restés six mois dans le SI de Dassault Falcon avant de déclencher leur ransomware…

« Après avoir obtenu un accès initial, le groupe [d’attaquants] utilise diverses techniques pour déguiser leurs opérations tout en se déplaçant latéralement. »
FireEye

FireEye explique ainsi que, « après avoir obtenu un accès initial, le groupe [d’attaquants] utilise diverses techniques pour déguiser leurs opérations tout en se déplaçant latéralement. Cet acteur préfère maintenir une empreinte de maliciel limitée, favorisant l’utilisation d’identifiants légitimes et d’accès distants pour accéder à l’environnement de sa victime ».

De son côté, Microsoft indique avoir observé l’assaillant « faire des modifications sur les réglages d’Azure Active Directory pour faciliter l’accès à long terme ». À l’instar de FireEye, il fournit des marqueurs techniques, ou indicateurs de compromission, assortis de recommandations quant à la marche à suivre. Dans les entreprises concernées, la chasse à la menace mérite désormais d’être lancée.

La question de l’attribution

FireEye fait référence aux assaillants à l’origine de cette importante compromission de la chaîne logistique du logiciel sous le code UNC2452. Nos confrères de Reuters et du Wall Street Journal évoquent quant à eux une campagne de cyberespionnage liée à la Russie. Des sources citées par le Washington Post font quant à elle explicitement référence au groupe APT29. Nos confrères faisaient déjà cette remarque lors de la révélation de l’attaque contre FireEye, la semaine dernière. Mais ces allégations sont loin de faire l’unanimité, jusqu’au sein de la communauté de la cybersécurité.

Sur Facebook, l’ambassade de Russie aux États-Unis dénonce quant à elle « de nouvelles tentatives infondées des médias US dans le but de blâmer la Russie pour des attaques contre des organismes gouvernementaux américains ». Et d’assurer que « les activités malicieuses dans l’espace de l’information contreviennent aux principes de la politique étrangère russe, aux intérêts nationaux, et à notre compréhension des relations entre États ».

Des attaques particulièrement graves

Ce type d’attaque par rebond n’est pas inédit. RSA en sait quelque chose : fin mars 2011, l’éditeur reconnaissait, dans une lettre à ses clients, qu’une attaque informatique avait permis d’exfiltrer des informations liées à SecurID, une solution d’authentification forte par jeton. Quelques mois plus tard, Lockheed Martin révélait qu’il avait été la cible d’une attaque informatique « significative et tenace ». L’histoire veut qu’elle ait été menée à l’aide des clés SecurID d’utilisateurs de son système d’information.

En 2017, deux épisodes ont impliqué la chaîne logistique du logiciel : CCleaner et NotPetya. Dans les deux cas, la menace est passée par la chaîne logistique du logiciel. Le premier a affecté près de 2,3 millions d’utilisateurs à travers le monde. Et selon les dernières découvertes d’Avast, le déploiement d’un logiciel enregistreur de saisies au clavier était prévu par les attaquants. Mais il n’a pas eu lieu. Plus récemment, l’affaire Dofoil/MediaGet a de nouveau souligné l’importance du sujet et la réalité de la menace. Le sujet a d’ailleurs été ouvertement évoqué lors du Forum International de la Cybersécurité, à Lille, en janvier2019.

Pour approfondir sur Menaces, Ransomwares, DDoS