Révélée publiquement dimanche 13 décembre par Reuters, la cyberattaque Sunburst est désormais sous contrôle. Plusieurs entreprises de cybersécurité et agences gouvernementales ont combiné leurs forces pour sceller sa propagation et la mettre définitivement hors d’état de nuire.
Mais ce n’est pas pour autant que l’histoire de Sunburst est terminée, bien au contraire. L’évaluation des dégâts causés par ce cheval de Troie logé dans les mises à jour officielles du logiciel Orion de SolarWinds ne fait que commencer. D’après les déclarations de l’entreprise, 18 000 de ses clients auraient téléchargé une des versions vérolées d’Orion, publiées entre mars et juin 2020, et donc installé Sunburst.
Ce cheval de Troie déploie, après un sommeil de 12 à 14 jours, une porte dérobée sur le système des victimes. Les hackers peuvent ensuite se servir de cet accès pour exfiltrer des informations ou envoyer des malwares supplémentaires depuis un centre de commande (appelé C&C dans le jargon) à distance en leur possession. Les pirates n’ont donc pas exploité les 18 000 accès, mais seulement une petite partie d’entre eux, triés sur le volet. Ce mercredi 16 décembre, les seules victimes connues sont plusieurs branches du gouvernement américain et l’entreprise de sécurité FireEye. D’autres victimes auraient été prévenues, mais rien n’oblige les entreprises concernées à se déclarer publiquement.
La véritable ampleur de l’attaque pourrait n’être connue que dans plusieurs mois, et encore, rien n’indique que le nom des victimes et le détails des informations compromises seront donnés.
Le serveur de commande des hackers est hors d’état de nuire
Première étape pour contenir l’attaque
: se débarrasser de toute trace de Sunburst. Seules 18 000 des 33 000 organisations utilisatrices d’Orion ont téléchargé une de ses versions infectées, mais toutes ont été prévenues. Dans sa mise à jour du mardi 15 décembre, SolarWinds a inclus un script capable de détecter et nettoyer d’éventuels résidus du malware. Avant ce patch officiel, le gouvernement américain et les entreprises FireEye et Microsoft avaient déjà publié des contre-mesures ainsi que des indicateurs pour détecter le programme malveillant.
Microsoft est même allé plus loin, avec le déploiement d’une mesure radicale en vigueur dès aujourd’hui : si son antivirus Defender détecte la présence de la version vérolée d’Orion sur un système Windows, il la mettra automatiquement en quarantaine. Les entreprises qui n’auraient pas déjà détecté le programme pourraient donc voir leur outil de gestion réseau brutalement cesser de fonctionner. « Les clients devraient considérer tout appareil avec le code malveillant comme compromis, et devraient déjà enquêter sur ces appareils », ajoute Microsoft, parmi les premiers à avoir analysé l’attaque, sous le nom Solarigate. L’entreprise ainsi que les agences gouvernementales recommandent de déconnecter du réseau tout appareil qui aurait été infecté.
Microsoft va pouvoir dresser une liste plus précise des victimes
Deuxième étape : empêcher les hackers d’exploiter les accès déjà déployés par Sunburst. Microsoft s’est donc attaqué, aux côtés d’une coalition d’entreprises et d’agences gouvernementales, au serveur de commande des hackers, comme l’a relevé ZDNet. Rapidement identifié, le domaine avsvmcloud[.]com est désormais sous contrôle de Microsoft. Lorsque Sunburst se réveillait sur un réseau, il appelait ce domaine, afin de demander des commandes supplémentaires. Les hackers pouvaient ainsi envoyer des programmes malveillants capables d’accomplir leur objectif (de la récolte d’information dans les cas observés jusqu’à aujourd’hui).
Pour mettre le serveur de commande hors d’état de nuire, la coalition ne l’a pas fermé, mais l’a isolé de toute connexion. Résumé grossièrement, le serveur DNS qui dirigeait les flux des appareils vers le site malveillant dirige désormais les requêtes vers un serveur de Microsoft. Ce système a un avantage : l’entreprise américaine et ses alliés peuvent détecter toutes les instances de Sunburst qui tentent de communiquer avec le serveur de commande. Ils peuvent ainsi créer une liste des victimes, qu’ils prévoient de contacter.
SolarWinds dans la tourmente financière
SolarWinds affirme dans un billet de blog que ses autres logiciels n’ont pas été compromis : « Nous avons scanné le code de tous nos produits logiciels à la recherche de marqueurs similaires à ceux utilisés dans l’attaque que les produits de la plateforme Orion, et nous n’avons trouvé aucune trace ». Reste qu’Orion est le produit phare du groupe, et sa commercialisation représente près de la moitié de son chiffre d’affaires.
Et puis l’entreprise n’est qu’au début de ses peines, alors qu’elle attire l’attention de tous bords. Le chercheur Vinoth Kumar a affirmé à Reuters que l’an dernier, il était possible d’accéder au serveur de mise à jour de Solarwinds. Il avait contacté l’entreprise pour qu’elle change le mot de passe d’accès, qui était selon lui « solarwinds123 ». Mais cet incident, bien que révélateur des écueils de sécurité de SolarWinds, ne serait pas à l’origine de l’attaque, toujours inconnue.
Deux actionnaires principaux ont vendu 280 millions de dollars d’actions
De son côté, le Washington Post s’est penché sur un étrange détail financier : deux des investisseurs qui possèdent 70% des parts de SolarWinds ont vendu pour 280 millions de dollars d’actions le 7 décembre. Le lendemain de cette vente massive, FireEye rendait publique l’intrusion sur son système, sans encore avoir identifié SolarWinds comme l’origine de l’attaque. Mais ce n’était pas la seule actualité de l’entreprise, puisque son CEO depuis 10 ans, Kevin Thompson, quittait aussi l’entreprise quelques jours plus tard. Ce changement avait été annoncé officiellement dans des documents légaux dès août, et par un billet de blog en septembre.
Depuis la présentation de Sunburst dimanche 13 décembre, l’action du groupe a plongé de 22%, et difficile de prévoir si elle va remonter : les investisseurs ont donc effectué un joli coup en revendant les actions. La SEC, l’autorité des marchés américaine, va ouvrir une enquête sur ce sujet, afin de déterminer si les investisseurs, qui siègent au conseil d’administration de l’entreprise, ont effectué leurs ventes par anticipation des répercussions du hack.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !