Affaire Sunburst

L’activité suspecte a débuté en Septembre 2019 sur Orion, un des logiciels phare de l’éditeur américain SolarWinds.

Une mise à jour de ce logiciel contenant un code malveillant a été publié en Mars 2020, menant à la compromission des réseaux qui l’utilisait : cette affaire est identifiée sous le nom commun Sunburst (CVE-2020-10148 [12][13]) et concerne les versions antérieures à 2019.4 HF 6 et 2020.2.1 HF 2 du logciel Orion de SolarWinds.

Des grandes entreprises (telle que FireEye qui a détecté en premier l’activité suspecte) ou des agences gouvernementales américaines, utilisatrice de ce logiciel de supervision ont été la cible de cette attaque sophistiquée.

Initialement, les hackers sont parvenus à modifier les mises à jour officielles d’Orion afin de réaliser une attaque par la chaîne d’approvisionnement (supply chain attack). Le code malveillant injecté permet aux pirates d’exécuter du code à distance et d’exfiltrer des données.

D’autres investigations de SolarWinds ont identifié qu’un autre logiciel malveillant nommé « Sunspot » a été utilisé pour injecter une porte dérobée dans la plateforme Orion.

Ainsi, si un administrateur de Orion installe la mise à jour du logiciel, il installe par le même biais Sunburst. Les cybercrimininels se connectaient sur les serveurs des victimes via ce reverse backdoor, puis installaient manuellement d’autres malwares tels que « TEARDROP » et « RAINDROP ». Le fait que les attaquants aient inséré le code malveillant dans les mises à jour officielles de la plateforme Orion leur a permis de ne pas être détecté par les logiciels de sécurité car la préconisation était souvent d’exclure le répertoire d’installation de Orion des arborescence scannées par les antivirus.

En Décembre 2020, Palo Alto a publié que les attaquants avaient également installé un shell .NET nommé « SUPERNOVA ».

Le malware « SUPERNOVA » se décompose en deux composants :

1) Il utilise une DLL Shell “app_web_logoimagehandler.ashx.b6031896.dll” qui a été signée avec un certificat officiel de signature de code de SolarWinds afin de garantir sa confiance. Cette technique lui a permis d’être indétectable pendant plusieurs mois sur le réseau interne.

2) Il exploite une vulnérabilité dans la plate-forme Orion afin de déployer du code malveillant. La vulnérabilité a été résolue dans les dernières mises à jour réalisées par SolarWinds.

Pour plus d’informations sur la vulnérabilité :

https://www.solarwinds.com/securityadvisory#anchor1

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-026/

Note:

les mises à jour des versions infectées ont été réalisées:

  • Le 14/12/2020 pour la version 2019.4 HF 6
  • Le 15/12/2020 pour la version 2020.2.1 HF 2

https://www.solarwinds.com/securityadvisory#anchor1



[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.