Le processus de deuxième phase de la cyberattaque de SolarWinds révélé par Microsoft
Microsoft a récemment expliqué plus en détail comment la cyberattaque SolarWinds a eu lieu, détaillant la deuxième phase de l'attaque et les types de logiciels malveillants utilisés.
Pour une attaque avec autant de cibles de haut niveau que SolarWinds, il reste encore de nombreuses questions auxquelles il faut répondre. Le rapport de Microsoft révèle une mine de nouvelles informations sur l'attaque, couvrant la période après que les attaquants ont laissé tomber la porte dérobée Sunburst.
Microsoft détaille la deuxième phase de la cyberattaque SolarWinds
Le blog Microsoft Security fournit un aperçu de «Le chaînon manquant», la période entre l'installation de la porte dérobée Sunburst (appelée Solorigate par Microsoft) chez SolarWinds et l'implantation de divers types de logiciels malveillants dans les réseaux de la victime.
Comme nous le savons déjà, SolarWinds est l'une des «attaques d'intrusion les plus sophistiquées et les plus prolongées de la décennie» et que les attaquants «sont des opérateurs de campagne qualifiés qui ont soigneusement planifié et exécuté l'attaque, restant insaisissables tout en maintenant leur persévérance».
Le blog Microsoft Security confirme que la porte dérobée Sunburst originale a été compilée en février 2020 et distribuée en mars. Ensuite, les attaquants ont supprimé la porte dérobée Sunburst de l'environnement de construction SolarWinds en juin 2020. Vous pouvez suivre la chronologie complète dans l'image suivante.
Microsoft pense que les attaquants ont ensuite passé du temps à préparer et à distribuer des implants et une infrastructure de commande et de contrôle personnalisés et uniques de Cobalt Strike, et que "la véritable activité pratique au clavier a probablement commencé dès mai".
La suppression de la fonction de porte dérobée de SolarWinds signifie que les attaquants sont passés de l'exigence d'un accès par porte dérobée via le fournisseur à un accès direct aux réseaux de la victime. La suppression de la porte dérobée de l'environnement de construction était une étape vers le déguisement de toute activité malveillante.
À partir de là, l'attaquant a fait de grands efforts pour éviter la détection et éloigner chaque partie de l'attaque. Une partie du raisonnement derrière cela était que même si l'implant du malware Cobalt Strike était découvert et supprimé, la porte dérobée de SolarWinds était toujours accessible.
Le processus anti-détection impliquait:
- Déploiement d'implants uniques Cobalt Strike sur chaque machine
- Toujours désactiver les services de sécurité sur les machines avant de procéder au mouvement latéral du réseau
- Effacer les journaux et les horodatages pour effacer les empreintes, et même aller jusqu'à désactiver la journalisation pendant une période pour terminer une tâche avant de la réactiver.
- Faire correspondre tous les noms de fichiers et de dossiers pour aider à camoufler les paquets malveillants sur le système de la victime
- Utilisation de règles de pare-feu spéciales pour masquer les paquets sortants pour les processus malveillants, puis suppression des règles lorsque vous avez terminé
Le blog Microsoft Security explore la gamme des techniques de manière beaucoup plus détaillée, avec une section intéressante qui examine certaines des méthodes anti-détection vraiment nouvelles utilisées par les attaquants.
SolarWinds est l'un des hackers les plus sophistiqués jamais vus
Il ne fait aucun doute dans l'esprit des équipes de réponse et de sécurité de Microsoft que SolarWinds est l'une des attaques les plus avancées à ce jour.
La combinaison d'une chaîne d'attaque complexe et d'une opération prolongée signifie que les solutions défensives doivent avoir une visibilité interdomaine complète sur l'activité des attaquants et fournir des mois de données historiques avec de puissants outils de chasse pour enquêter aussi loin que nécessaire.
Il pourrait aussi y avoir d'autres victimes à venir. Nous avons récemment signalé que les spécialistes de l'antimalware Malwarebytes ont également été ciblés dans la cyberattaque, bien que les attaquants aient utilisé une méthode d'entrée différente pour accéder à son réseau.
Compte tenu de l'écart entre la prise de conscience initiale qu'une telle cyberattaque avait eu lieu et l'éventail des cibles et des victimes, il pourrait encore y avoir plus de grandes entreprises technologiques à avancer.
Microsoft a publié une série de correctifs visant à réduire le risque de SolarWinds et des types de logiciels malveillants associés dans son patch de janvier 2021 mardi . Les correctifs, qui ont déjà été mis en ligne, atténuent une vulnérabilité zero-day qui, selon Microsoft, serait liée à la cyberattaque de SolarWinds et qui était activement exploitée dans la nature.