Qu’est-ce que l’attaque SolarWinds et ai-je été affecté?
Vers la fin de 2020, un nom dominait le paysage de la sécurité: SolarWinds.
Les attaquants ont utilisé le logiciel SolarWinds comme point de départ vers d'autres cibles dans un processus connu sous le nom d'attaque de la chaîne d'approvisionnement.
Le résultat a été des dizaines de milliers de victimes, des violations de données dans plusieurs agences gouvernementales et une audience du Congrès mettant en vedette certains des plus grands noms de la technologie et de la sécurité, notamment Microsoft, FireEye et CrowdStrike.
Alors, qu'est-ce que SolarWinds? Que s'est-il passé lors de l'une des plus grandes cyberattaques de ces derniers temps?
Qu'est-ce que SolarWinds?
SolarWinds est une société bien connue qui développe et fournit des outils de gestion de système. Parmi sa clientèle se trouvent des centaines d'entreprises Fortune 500, ainsi que de nombreuses agences gouvernementales américaines et étrangères.
SolarWinds développe et distribue un système de gestion appelé Orion. Les entreprises peuvent utiliser Orion pour gérer les ressources informatiques, effectuer des tâches administratives, une surveillance sur site et hors site, etc.
Le logiciel SolarWinds Orion est au centre de l'attaque SolarWinds.
Qu'est-il arrivé au logiciel SolarWinds Orion?
SolarWinds Orion compte plus de 33 000 clients. Chacun de ces clients reçoit des mises à jour logicielles directement de SolarWinds, qui envoie les mises à jour en direct aux clients. Le client Orion installe la mise à jour à son arrivée et tout continue de fonctionner normalement.
Début 2020, un groupe de pirates informatiques a violé en silence l'infrastructure SolarWinds et a ajouté un code malveillant à un package de mise à jour SolarWinds Orion. Lorsque la mise à jour a été diffusée auprès des milliers de clients SolarWinds Orion, les fichiers malveillants l'ont accompagnée.
Une fois que la mise à jour a atteint les réseaux des clients, il ne s'agissait plus que d'attendre que le client installe les fichiers malveillants, créant ainsi une porte dérobée dans leur réseau.
La version cheval de Troie du logiciel Orion a été installée sur des milliers d'ordinateurs sur plusieurs réseaux de haut niveau. Il s'agit d'un élément central de l'attaque de la chaîne d'approvisionnement. Un fournisseur ayant accès à d'autres réseaux est identifié et attaqué mais n'est pas la seule cible. Les attaquants utilisent le fournisseur comme une rampe de lancement dans les réseaux d'autres cibles.
Les produits Microsoft sont également touchés par les attaques de la chaîne d'approvisionnement
SolarWinds n'était pas la seule entreprise de technologie dont les produits figuraient dans une attaque de la chaîne d'approvisionnement. Microsoft a été victime de l'attaque globale, mais les revendeurs et distributeurs de produits Microsoft ont également été ciblés pour compromettre d'autres réseaux liés.
Les attaquants ont d'abord tenté d'accéder directement à l'infrastructure Office 365 de Microsoft. Mais lorsqu'ils ont échoué, l'attention s'est tournée vers les revendeurs Microsoft. Au moins un fournisseur de services cloud Microsoft a été ciblé et utilisé comme tremplin vers d'autres réseaux.
Une autre vulnérabilité du produit Microsoft, cette fois dans l'application Web Outlook, a permis aux attaquants de contourner les contrôles d'authentification à deux facteurs, en accédant à des comptes de messagerie privés qui étaient ensuite utilisés pour la collecte de données.
En outre, Microsoft a confirmé que l'attaquant avait accédé au code source de Windows 10 et d'autres produits, bien que le code ne soit pas suffisamment important pour être considéré comme un risque.
Qui a été touché par l'attaque de SolarWinds?
Les assaillants n'ont pas frappé immédiatement. Ayant eu accès à une série de réseaux de haut niveau, le groupe de piratage a attendu des mois pour commencer la deuxième phase de l'attaque.
Le groupe de piratage a violé SolarWinds en mars 2020, mais la première idée de l'ampleur de la violation n'est arrivée qu'en décembre 2020, environ neuf mois plus tard.
La principale société de sécurité FireEye a annoncé qu'elle était les victimes du piratage et que les attaquants avaient volé certains de leurs outils de piratage offensifs dans le processus. Pour le moment, la brèche FireEye n'était pas liée à SolarWinds.
Un flux régulier de rapports a émergé de plusieurs agences gouvernementales américaines environ une semaine plus tard concernant une attaque de porte dérobée. Le Trésor américain et la National Nuclear Security Administration ont été violés, ainsi que les départements de la sécurité intérieure, de l'État, de la défense, du commerce et de l'énergie, et certaines parties du Pentagone.
À l'époque, s'adressant à la BBC , le chercheur en cybersécurité, le professeur Alan Woodward, a déclaré:
Après la guerre froide, c'est l'une des pénétrations potentiellement les plus importantes des gouvernements occidentaux à ma connaissance.
La liste des victimes est longue, couvrant plusieurs pays, de nombreuses entreprises technologiques et des milliers de réseaux. Des noms tels que Cisco, Intel, Nvidia, Microsoft, MediaTek, Malwarebytes et Mimecast ont tous subi des violations.
Comment l'attaque SolarWinds s'est-elle terminée?
Comme vous pouvez vous y attendre d'une attaque de cette taille, ce n'était pas aussi simple d'appuyer sur un interrupteur et de fermer la brèche SolarWinds.
Tout d'abord, SolarWinds n'était pas une attaque universelle. Bien que SolarWinds Orion ait été la principale rampe de lancement dans les réseaux cibles, les attaquants ont utilisé leur temps pour créer une série de types de logiciels malveillants uniques, associés à d'autres exploits auparavant invisibles après avoir obtenu l'accès.
Le blog de sécurité Microsoft fournit une explication détaillée du fonctionnement de certains de ces types de logiciels malveillants, mais vous pouvez lire un bref aperçu ci-dessous:
- GoldMax: GoldMax est écrit en Go et agit comme une porte dérobée de commande et de contrôle qui cache les activités malveillantes sur l'ordinateur cible. Comme lors de l'attaque SolarWinds, GoldMax peut générer un trafic réseau leurre pour masquer son trafic réseau malveillant, lui donnant l'apparence d'un trafic régulier.
- Sibot: Sibot est un malware à double usage basé sur VBScript qui maintient une présence persistante sur le réseau cible et permet de télécharger et d'exécuter une charge utile malveillante. Microsoft note qu'il existe trois variantes du malware Sibot, qui ont toutes des fonctionnalités légèrement différentes.
- GoldFinder: ce malware est également écrit en Go. Microsoft pense qu'il a été "utilisé comme outil de suivi HTTP personnalisé" pour la journalisation des adresses de serveur et d'autres infrastructures impliquées dans la cyberattaque.
Une fois que Microsoft et d'autres sociétés de sécurité en savent suffisamment sur les types de logiciels malveillants en jeu, ils peuvent tenter de bloquer leur utilisation. Ce n'est qu'alors que le nettoyage complet peut commencer.
Le blog de sécurité Microsoft fournit également un autre extrait de code important concernant la «fin» de l'attaque SolarWinds:
Avec le modèle établi de cet acteur consistant à utiliser une infrastructure et des outils uniques pour chaque cible, et la valeur opérationnelle du maintien de leur persistance sur les réseaux compromis, il est probable que des composants supplémentaires seront découverts au fur et à mesure que notre enquête sur les actions de cet acteur de la menace se poursuit.
Qui était derrière l'attaque de SolarWinds?
La grande question: qui était-ce? Quel groupe de piratage a les compétences nécessaires pour perpétrer l'un des piratages les plus importants et les plus avancés de l'histoire?
Les entreprises de technologie et le gouvernement américain pointent carrément du doigt un groupe de piratage soutenu par le gouvernement russe, bien qu'un groupe spécifiquement nommé soit encore difficile à trouver.
Cela pourrait signifier le tristement célèbre groupe de piratage Cozy Bear (APT29). La société de sécurité Kaspersky a déclaré que certains échantillons de logiciels malveillants ressemblaient à des logiciels malveillants utilisés par un pirate informatique connu sous le nom de Turla, qui ont des liens avec le service de sécurité fédéral russe, le FSB. Plusieurs responsables américains ont officiellement accusé la Russie ou un groupe de piratage d'influence russe.
S'exprimant lors d'une audience du Sénat américain sur la cyberattaque , le président de Microsoft, Brad Smith, a également affirmé que la Russie était derrière l'attaque. Il a également réaffirmé que Microsoft «continuait d'enquêter car nous ne pensons pas que tous les vecteurs de la chaîne d'approvisionnement ont encore été découverts ou rendus publics».
Les dirigeants des autres sociétés de technologie s'exprimant lors de l'audience, CrowdStrike, FireEye et SolarWinds, ont publié des déclarations similaires.
CISA a partagé "toutes les informations dont nous disposons" sur SolarWinds et Exchange "au niveau non classifié, sauf un petit élément lié à l'attribution", déclare le Pays de Galles, "et franchement, ce [élément] ne va pas aider un seul défenseur du réseau. améliorer leur sécurité. "
– Eric Geller (@ericgeller) 23 mars 2021
Cependant, sans confirmation ni élément de preuve tueur que le gouvernement américain peut révéler, cela reste une allégation forte. Comme l'indique le tweet ci-dessus, la CISA détient toujours un élément de preuve mais ne peut pas le révéler, de peur qu'il ne brûle les contacts, les sources et peut-être les enquêtes en cours sur l'attaque.
SolarWinds est-il terminé?
Selon Microsoft, ce n'est peut-être pas le cas. Mais la vérité est qu'avec une attaque de cette nature, qui a violé tant de réseaux différents à des degrés divers, nous ne connaîtrons probablement jamais la véritable étendue de SolarWinds.
Il y a probablement des entreprises qui ont été violées, mais leur réseau a été jugé insuffisant en valeur pour continuer à exploiter, et telle est la compétence du groupe de piratage, ils n'ont peut-être laissé aucune trace d'entrée.
En cela, SolarWinds ne visait pas à provoquer une scène et à faire bouger les choses. C'était le contraire polaire: soigneusement orchestré, exigeant des quantités massives de mouvements de précision pour travailler par étapes pour éviter la détection.
Cela ouvre certainement la conversation sur la divulgation responsable des vulnérabilités, les rapports de bogues et d'autres moyens de renforcer les protocoles de sécurité contre de telles attaques.
Dois-je m'inquiéter de SolarWinds?
En ce qui concerne les consommateurs réguliers comme vous et moi, c'est bien au-dessus de notre niveau de rémunération.
Les attaques de cette nature n'ont généralement pas d'impact sur les consommateurs réguliers, du moins pas directement comme une attaque de phishing ou une personne qui installe des logiciels malveillants sur votre ordinateur.