Un à un, les mystères restants sur le hack de l’entreprise SolarWinds sont levés. CrowdStrike, une des entreprises commissionnées pour enquêter sur l’incident, a publié le 11 janvier un rapport sur un malware impliqué dans la cyberattaque, inconnu jusqu’ici. Ce logiciel malveillant baptisé « Sunspot » serait le premier maillon de l’attaque, en amont du désormais célèbre « Sunburst ».
Il aurait été introduit sur un serveur de l’entreprise dès septembre 2019. Plus précisément, Sunspot a infecté le moteur de production de SolarWinds, c’est-à-dire le système chargé de l’assemblage des logiciels du groupe. Son objectif : espionner la fabrique du logiciel Orion, le logiciel de gestion réseau de l’entreprise.
Comme le relève ZDNet, après une phase d’observation, Sunspot a ensuite inséré le code nécessaire à la mise en place du cheval de Troie Sunburst dans le code source d’Orion. Résultat : entre mars et juin 2020, si un client de SolarWinds installait la mise à jour du logiciel, il installait par le même biais Sunburst. Ce dernier ouvrait une porte sur les serveurs des victimes — plus de 18 000 organisations –, dans laquelle les hackers pouvaient s’engouffrer.
Ils n’avaient ensuite plus qu’à déposer manuellement un troisième malware, encore plus puissant, nommé « Teardrop », sur les systèmes de près des organisations qu’ils avaient dans le viseur. Ils ont ainsi procédé pour espionner 250 organisations, dont bon nombre de branches et d’agences du gouvernement américain : armée, renseignement, énergie… Autant de domaines critiques compromis par les hackers, « probablement » russes d’après les autorités américaines.
Une question reste : comment les hackers ont-ils déployé Sunspot ?
L’attaque contre SolarWinds s’est donc étalée de septembre 2019 à juin 2020, et n’a été découverte qu’en décembre 2020. C’est un constat d’échec pour l’entreprise victime, qui a désormais confié l’amélioration de sa sécurité à de grands noms du secteur.
De leur côté, les enquêteurs sont presque remontés tout au bout de la chaîne de l’attaque. Il ne leur reste plus qu’à découvrir comment les hackers sont parvenus à déployer Sunspot sur le moteur de production de SolarWinds. Les hypothèses fusent, mais cet élément reste un mystère pour l’instant. Ensuite, il leur faudra déterminer précisément qui a organisé l’attaque : les Russes, mais qui exactement ? Certains médias, dont le Washington Post, pointent vers APT29, surnommé Cozy Bear, un groupe de pirates d’élites lié à une des agences du renseignement russe. En attendant l’éventuelle de cette information, les pirates sont affublés de différents noms : DarkHalo, StellarParticle ou encore UNC2452. Bref, l’affaire SolarWinds est loin d’être finie.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !