Categories: Sécurité

SolarWinds : le calme avant la tempête ?

Vers un cadre plus stable pour les agences fédérales américaines dans l’affaire SolarWinds ? Voilà près de deux semaines que la CISA – homologue de notre ANSSI – n’a pas actualisé ses directives à leur attention.

Tout n’est pas pour autant gravé dans le marbre concernant cette campagne d’espionnage XXL. Les consignes additionnelles du département de la Sécurité intérieure en témoignent. Certes, elles se concentrent sur la backdoor qui apparaît comme le principal vecteur de la campagne en question. Mais elles incluent un appel à la vigilance : il existe d’autres portes d’entrée*, et la CISA « en a la preuve ».

Difficile de ne pas penser à une autre backdoor, qu’on a appelée Supernova. Contrairement à la backdoor principale, injectée sur un serveur officiel de mises à jour d’Orion (plate-forme logicielle de gestion informatique signée SolarWinds), elle résidait sur un serveur tiers. Mais elle visait la même plate-forme, simplement à un autre niveau, au travers d’un webshell. Surtout, la vulnérabilité touchait toutes les versions d’Orion. Alors que la backdoor principale – baptisée Sunburst – n’a semble-t-il affecté « que » quatre versions, de la 2019.4 HF5 à la 2020.2 HF1.

Auteur des premières révélations sur cette affaire SolarWinds, FireEye avait évoqué Supernova dans son rapport initial. Il en a finalement retiré toute mention, à défaut d’avoir pu confirmer qu’elle ait servi la même campagne que Sunburst.

SolarWinds : la chronologie se précise

Chez Microsoft, à la fois victime et enquêteur, on ne fait aucune référence à Sunburst. L’éditeur préfère parler de Solorigate et donne plus volontiers ce nom à l’attaque dans son ensemble qu’à la backdoor.
Du côté de Palo Alto Networks, on a appelé l’attaque SolarStorm. Et on y a associé, en date du 23 décembre 2020, une chronologie (première image ci-dessous). Combinée à celle de SolarWinds (deuxième image), elle donne une idée assez précise du déroulement des événements.

Palo Alto Networks situe à août 2019 le premier enregistrement d’un nom de domaine impliqué dans l’attaque. L’acquisition des certificats SSL pour l’infrastructure de commande et de contrôle s’est déroulée essentiellement sur la période de février à avril 2020.
SolarWinds fixe à septembre 2019 les premiers accès à ses serveurs de mise à jour. Des tests « à blanc » ont alors eu lieu jusqu’en novembre de la même année.

* Parmi ces portes d’entrée potentielles, certaines sont exemptes de backdoor. Elles reposent sur l’usurpation de comptes. La CISA évoque trois techniques : la force brute, le spraying (test ciblé d’un petit nombre de mots de passe) et le recours à des identifiants d’administration accessibles à distance.

À lire en complément, le « fil rouge SolarWinds » de Silicon.fr :

Illustration principale © Rawpixel.com – stock.adobe.com

Recent Posts

Numérisation de l’État : sprint engagé jusqu’à la présidentielle 2022

De FranceConnect au programme DcANT, tour d'horizon des chantiers prioritaires engagés par le Gouvernement d'ici…

1 jour ago

AIOps : quelles opérations IT sont optimisées ?

L'adoption de l'intelligence artificielle pour les opérations informatiques (AIOps) progresse au sein de grands groupes.…

1 jour ago

PC : vers une croissance sans précédent en Europe

Dans la zone EMEA, la demande soutenue de PC pour le travail et l'enseignement à…

2 jours ago

SolarWinds : de nouvelles armes du crime mises au jour

FireEye et Microsoft font la lumière sur divers malwares qui ont - ou semblent avoir…

2 jours ago

GAIA-X : comment se pilote l’infrastructure de données européenne

Avec la nomination d'un CEO et d'un CTO, GAIA-X lance ses opérations. Tour d'horizon de…

2 jours ago

Emploi : quelle place pour les femmes dans le numérique ?

Valoriser la reconversion des femmes dans les métiers du numérique n'est pas un luxe, mais…

2 jours ago