SolarWinds : le calme avant la tempête ?

Vers un cadre plus stable pour les agences fédérales américaines dans l’affaire SolarWinds ? Voilà près de deux semaines que la CISA – homologue de notre ANSSI – n’a pas actualisé ses directives à leur attention.

Tout n’est pas pour autant gravé dans le marbre concernant cette campagne d’espionnage XXL. Les consignes additionnelles du département de la Sécurité intérieure en témoignent. Certes, elles se concentrent sur la backdoor qui apparaît comme le principal vecteur de la campagne en question. Mais elles incluent un appel à la vigilance : il existe d’autres portes d’entrée*, et la CISA « en a la preuve ».

Difficile de ne pas penser à une autre backdoor, qu’on a appelée Supernova. Contrairement à la backdoor principale, injectée sur un serveur officiel de mises à jour d’Orion (plate-forme logicielle de gestion informatique signée SolarWinds), elle résidait sur un serveur tiers. Mais elle visait la même plate-forme, simplement à un autre niveau, au travers d’un webshell. Surtout, la vulnérabilité touchait toutes les versions d’Orion. Alors que la backdoor principale – baptisée Sunburst – n’a semble-t-il affecté « que » quatre versions, de la 2019.4 HF5 à la 2020.2 HF1.

Auteur des premières révélations sur cette affaire SolarWinds, FireEye avait évoqué Supernova dans son rapport initial. Il en a finalement retiré toute mention, à défaut d’avoir pu confirmer qu’elle ait servi la même campagne que Sunburst.

SolarWinds : la chronologie se précise

Chez Microsoft, à la fois victime et enquêteur, on ne fait aucune référence à Sunburst. L’éditeur préfère parler de Solorigate et donne plus volontiers ce nom à l’attaque dans son ensemble qu’à la backdoor.
Du côté de Palo Alto Networks, on a appelé l’attaque SolarStorm. Et on y a associé, en date du 23 décembre 2020, une chronologie (première image ci-dessous). Combinée à celle de SolarWinds (deuxième image), elle donne une idée assez précise du déroulement des événements.

Palo Alto Networks situe à août 2019 le premier enregistrement d’un nom de domaine impliqué dans l’attaque. L’acquisition des certificats SSL pour l’infrastructure de commande et de contrôle s’est déroulée essentiellement sur la période de février à avril 2020.

SolarWinds fixe à septembre 2019 les premiers accès à ses serveurs de mise à jour. Des tests « à blanc » ont alors eu lieu jusqu’en novembre de la même année.

* Parmi ces portes d’entrée potentielles, certaines sont exemptes de backdoor. Elles reposent sur l’usurpation de comptes. La CISA évoque trois techniques : la force brute, le spraying (test ciblé d’un petit nombre de mots de passe) et le recours à des identifiants d’administration accessibles à distance.

À lire en complément, le « fil rouge SolarWinds » de Silicon.fr :