SolarWinds : correctifs, négligence et second piratage

Le malware affectant le logiciel de surveillance réseau SolarWinds Orion se propage à un rythme rapide et le nombre de fournisseurs et de victimes ne cesse d'augmenter. Chaque jour apporte son lot de révélations sur la portée et la profondeur de l’attaque. Le niveau d'infection et l'impact sur les systèmes du gouvernement américain sont particulièrement préoccupants. Pour rappel, une porte dérobée a été découverte dans le logiciel de surveillance et de gestion IT SolarWinds Orion. La bibliothèque de liens dynamiques appelée SolarWinds.Orion.Core.BusinessLayer.dll, composant du framework Orion, signé numériquement, contient une porte dérobée qui communique via HTTP avec des serveurs tiers.

Après une période initiale de dormance qui peut aller jusqu'à deux semaines, le cheval de Troie récupère et exécute des commandes, appelées jobs. Les requêtes consistent à demander au malware de transférer des fichiers, d'exécuter des fichiers, de profiler le système, de redémarrer et de désactiver les services système. En bref, une prise de contrôle totale de la machine. Le malware dissimule son trafic réseau dans le protocole OIP (Orion Improvement Program) et stocke ses données volées dans des fichiers légitimes de configuration de plugin, ce qui lui permet de masquer son activité dans l'activité légitime de SolarWinds. D’après le fournisseur, moins de 18 000 clients, parmi 300 000, ont téléchargé le cheval de Troie, mais c'est encore 18 000 de trop. Les victimes seraient des sociétés de conseil, des entreprises technologiques, de télécommunications et du secteur pétrolier et de gazier du monde entier. Mais des agences gouvernementales américaines, notamment les Départements américains de la Défense, du Trésor et du Commerce, font aussi partie des cibles.

Dernière victime en date, Cisco Systems, qui a trouvé le cheval de Troie Orion sur des systèmes internes. « Après l'annonce de l'attaque de SolarWinds, Cisco Security a immédiatement mis en place nos processus de réponse aux incidents », a déclaré l’entreprise dans un communiqué. « Nous avons isolé et retiré les installations Orion de quelques environnements de tests et de terminaux d'employés. Pour l'instant, il n'y a pas d'impact connu sur les produits et services de Cisco, ni sur les données des clients ». FireEye et Microsoft ont été parmi les premiers à identifier la faille, et l’usage généralisé de SolarWinds pousse d'autres experts en sécurité à se pencher de près sur la question. Une chose est sûre : on est encore loin d’avoir tout découvert. Mais que sait-on pour l’instant ?

Un killswitch trouvé

Première victime déclarée, FireEye est aussi la première entreprise à avoir documenté l’action du cheval de Troie le 13 décembre dans un rapport détaillé sur le malware. Dans ce rapport, FireEye affirme que la compromission du logiciel Orion date peut-être du mois de mars 2020. FireEye a indiqué au site de sécurité KrebsOnSecurity qu'il avait trouvé un domaine, saisi par Microsoft, et reconfiguré depuis pour agir comme « killswitch » afin d'empêcher le malware de continuer à fonctionner dans certaines circonstances. « Sunburst », nom donné par FireEye au malware, a été distribué via le logiciel SolarWinds. « Pendant l’analyse de Sunburst, nous avons découvert un killswitch pouvant empêcher le malware de continuer à fonctionner », a déclaré FireEye dans un communiqué. Sous certaines conditions, selon l'adresse IP renvoyée quand le malware résout avsvmcloud[.]com, le malware se mettrait de lui-même hors service et empêcherait toute nouvelle exécution.

FireEye a collaboré avec GoDaddy et Microsoft pour désactiver les infections Sunburst. « Ce killswitch affectera les nouvelles et les anciennes infections Sunburst en désactivant les déploiements Sunburst pointant toujours vers avsvmcloud[.]com. Cependant, dans les intrusions constatées par FireEye, l’acteur de la menace a agi rapidement pour établir des mécanismes persistants supplémentaires et accéder aux réseaux cibles au-delà de la porte dérobée Sunburst. Ce killswitch ne supprimera pas l'acteur des réseaux déjà infectés où il a établi d'autres portes dérobées. Mais, il sera plus difficile pour l'acteur de tirer parti des versions de Sunburst distribuées précédemment », a ajouté FireEye.

Un second groupe découvert

Microsoft a annoncé qu'un second groupe de pirates avait déployé un code malveillant affectant le logiciel Orion. « Mais ce malware, connu des chercheurs sous le nom de Supernova, est différent du cheval de Troie original car il ne cherche pas, semble-t-il, à compromettre la chaîne d'approvisionnement », a déclaré Microsoft. Alors que les pirates informatiques russes sont soupçonnés d'être derrière le premier cheval de Troie du logiciel Orion, Microsoft n’a pas identifié l’acteur malveillant à l’origine de cette seconde attaque. « L'enquête sur l'ensemble de l’attaque SolarWinds a débouché sur la découverte d'un autre malware qui affecte également le produit SolarWinds Orion, mais celui-ci n’est probablement pas lié à cette compromission et il est utilisé par un autre acteur de la menace », a déclaré vendredi, l'équipe de recherche de Microsoft dans un article de blog. L'entreprise fait remarquer que Microsoft Defender Antivirus, la solution antimalware activée par défaut sur Windows 10, détecte et bloque la DLL malveillante et ses comportements. Elle met en quarantaine les logiciels malveillants, même si le processus est en cours d'exécution.

Une alerte transmise il y a trois ans

Selon un article publié par Bloomberg, un conseiller en sécurité de SolarWinds avait mis en garde l’entreprise contre les risques de sécurité il y a trois ans, c’est à dire bien avant le piratage présumé. Mais ce dernier a démissionné quand il a vu que l’entreprise ne le prenait pas au sérieux. Selon ce même article, en 2017, Ian Thornton-Trump a livré à trois dirigeants de SolarWinds une présentation PowerPoint de 23 pages, les pressant de nommer un directeur senior de la cybersécurité, car il pensait qu'une brèche majeure était inévitable. M. Thornton-Trump a déclaré à Bloomberg qu'il avait démissionné de SolarWinds un mois après sa présentation parce que, selon lui, l’entreprise n’avait pas donné suite aux modifications qu'il avait suggérées pour améliorer la cybersécurité. « Ma conviction, c’est que, du point de vue de la sécurité, SolarWinds était une cible incroyablement facile à pirater », a déclaré M. Thornton-Trump.

Délit d'initié ?

La semaine dernière, le Washington Post a rapporté que les principaux investisseurs de SolarWinds avaient vendu des millions de dollars en actions les jours précédant la révélation de l'intrusion. Le cours de l'action SolarWinds a chuté de plus de 20 % ces derniers jours. D’après d'anciens responsables de la Commission américaine des titres et de la Bourse (U.S. Securities and Exchange Commission, SEC) cités par le Post, ces ventes pourraient faire l’objet d’une enquête de délits d'initiés. Les sociétés de capital-investissement Silver Lake et Thoma Bravo, qui détenaient les trois quarts des actions SolarWinds en circulation, ont vendu 13 millions d'actions à 21,97 dollars, pour une valeur de 286 millions de dollars, une semaine à peine avant la divulgation de la vulnérabilité de la supply chain. Le lundi suivant, la valeur de l’action était tombée à 16,12 dollars à la clôture. Toujours selon le Post, au mois de novembre, Kevin Thompson, le CEO sur le départ de SolarWinds, a également vendu plus de 15 millions d'actions. « Thoma Bravo et Silver Lake n'étaient pas au courant de cette cyberattaque potentielle contre SolarWinds avant de conclure un placement privé auprès d'un seul investisseur institutionnel le 7 décembre », ont déclaré les deux entreprises dans un communiqué commun adressé au Washington Post.