Qui est Solarwinds ?
Solarwinds est l'un des nombreux logiciels de surveillance de réseau apparemment inoffensifs. Avec un chiffre d'affaires d'un peu moins d'un milliard de dollars, il ne s'agit pas d'un mastodonte de l'industrie comme IBM ou Microsoft. Et pourtant, Solarwinds a été le catalyseur d'une série de violations de réseau comme on n'en avait pas vu depuis longtemps, voire jamais.
Que s'est-il passé ?
Plusieurs départements du gouvernement ont été compromis, notamment les départements du Trésor, de la sécurité intérieure, du commerce, de la défense, de l'énergie, de l'État et de la santé. FireEye, une grande entreprise de cybersécurité, a également été compromise. Dans le secteur privé, Cisco, Intel, VMware, Microsoft et Nvidia, entre autres, ont également été touchés. Au total, potentiellement des milliers d'organisations ont été pénétrées par le logiciel malveillant. Le phénomène ne s'est pas limité aux États-Unis ; l'Europe, l'Asie et le Moyen-Orient ont également été touchés.
Qu'est-ce que cela signifie pour vous et moi ?
À moins que vous ne travailliez dans le domaine de la cybersécurité (et si c'est le cas, nous vous présentons nos condoléances), les principales préoccupations sont : l'interférence avec le gouvernement, le vol de la propriété intellectuelle et la perturbation des opérations. Plus précisément, les données matérielles suivent les données des employés, qui suivent les données de l'entreprise. En accédant au matériel, les acteurs malveillants peuvent, par exemple, interférer avec les infrastructures énergétiques.
Mais ce qu'il faut retenir, c'est que même une entreprise de cybersécurité de premier plan a été victime d'une intrusion. Elle gagne des points pour avoir détecté la faille alors que personne d'autre ne l'a fait, mais si elle n'a pas pu l'empêcher, quelles sont les chances des équipes moyennes ?
À cet égard, je pense qu'il est utile d'examiner comment les choses se sont passées.
Les acteurs ont créé un fichier Windows Installer Patch comprenant une version rétroactive d'un fichier de mise à jour standard de SolarWinds. Ils ont ensuite publié ces mises à jour corrompues sur le site de SolarWinds avec une signature légitime. Une fois que SolarWinds a téléchargé la mise à jour de son logiciel Orion, le fichier BusinessLayerHost.exe (normal) charge le fichier DLL troyen. Après quelques semaines, le cheval de Troie tente de résoudre un sous-domaine avsvmcloud[.]com. Le DNS répond alors par un enregistrement CNAME destiné à un serveur de commande et de contrôle. En fait, ils ont utilisé les noms d'hôtes de services valides. Le trafic vers les domaines malveillants est déguisé en données API SolarWinds.
À partir de là, ils ont eu accès à un logiciel qui leur donne intrinsèquement accès aux communications réseau des clients SolarWinds.
Pourquoi n'ont-ils pas été détectés ?
Ce n'est pas pour rien qu'ils ont été classés dans la catégorie des pirates informatiques hautement qualifiés. Ils ont attendu deux semaines avant d'attaquer. Ils utilisaient des tâches de maintenance de routine pour se glisser dans le système. Après avoir ouvert une brèche plus profonde, ils inséraient du code en mémoire seule dans des processus normaux pour remplacer une partie du système, obtenaient des informations d'identification non compromises, puis remplaçaient leur partie malveillante par la partie normale.
S'il existait une technique pour brouiller les pistes, ils l'utilisaient. Ils ont évalué la sécurité des systèmes de chacun des clients de SW individuellement, un par un, puis ont adapté chaque violation au client.
Chronologie de l'attentat
2019 : Se préparer à l'attaque
4 septembre
Des cyber-attaquants inconnus et hautement qualifiés accèdent à SolarWinds.
12 septembre
Des acteurs malveillants injectent leur code SUNBURST dans le logiciel de la plate-forme Orion à titre de test initial. En utilisant des serveurs américains et un trafic réseau hautement déguisé, ils ont évité d'être détectés par tous les réseaux utilisant la plate-forme Orion.
2020 : L'attaque commence
20 février
Après avoir mis à jour le code SUNBURST, les acteurs malveillants lancent leur attaque. Au cours des mois suivants, ils parviennent à pénétrer dans les réseaux individuels de nombreux utilisateurs d'Orion.
4 juin
Les pirates extraient le code de leur cheval de Troie de SolarWinds, couvrant ainsi leurs traces.
8 décembre
Une entreprise de cybersécurité, FireEye, annonce que des pirates informatiques ont volé leurs outils de test de pénétration (outils de l'"équipe rouge" utilisés pour tester les défenses de cybersécurité de leurs clients) et avertit les autres entreprises du risque correspondant si ces outils étaient retournés contre elles.
11 décembre
FireEye poursuit son enquête et détermine que SolarWinds est à l'origine de la violation. Ils ont découvert que les mises à jour de la plate-forme Orion étaient accompagnées de chevaux de Troie, ce qui leur a permis d'infiltrer les clients de SolarWinds à partir de n'importe quelle version du logiciel entre mars 2020 et juin.
12 décembre
FireEye révèle à SolarWinds que sa plateforme Orion a été violée par des pirates informatiques. La Maison Blanche et le NSC organisent une réunion pour déterminer l'ampleur du piratage des organisations gouvernementales.
13 décembre
Après avoir examiné la situation, la CISA (Cybersecurity and Infrastructure Security Agency) déclare un mandat d'urgence pour toutes les institutions gouvernementales afin de supprimer toutes les activités de SolarWinds Orion en raison des dangers permanents pour la sécurité nationale.
FireEye signale qu'un cyber-attaquant a utilisé la chaîne d'approvisionnement des mises à jour de SolarWinds comme arme et s'est ensuite attaqué à des clients dans le monde entier.
SolarWinds décrit la violation de sa plateforme Orion et propose à ses clients des méthodes pour défendre leurs réseaux. Microsoft fait également une déclaration sur les implications du piratage de SolarWinds pour sa base de clients.
Reuters rend publique l'histoire de SolarWinds, en présentant la Russie comme le principal suspect et en soulignant l'ampleur indéterminée de l'attaque contre le gouvernement fédéral américain.
15 décembre
Le Sénat demande au FBI et à la CISA d'enquêter sur l'affaire SolarWinds et de fournir au Congrès davantage d'informations sur la cyberattaque dont le gouvernement a été victime.
Un correctif logiciel est fourni par SolarWinds ; ils transmettent des informations supplémentaires sur l'attaque.
Les journalistes publient des informations selon lesquelles la sécurité intérieure, le NIH, le DHS, entre autres, ont été victimes.
16 décembre
La communauté de la cybersécurité détermine le domaine utilisé par les cyberattaquants ainsi qu'un kill switch pour désactiver le code SUNBURST.
Le FBI commence à enquêter sur les origines de l'attaque afin de réduire les risques d'attaque à l'avenir.
Le New York Times explique le risque pour la sécurité de notre pays.
SolarWinds explique que les outils de ses fournisseurs de services gérés n'ont pas été compromis, mais que des mesures ont été prises pour prévenir d'autres violations. Tous les partenaires ont été informés qu'ils devaient réinitialiser leurs certificats signés numériquement, car SolarWinds a révoqué les anciennes informations d'identification.
17 décembre
L'équipe infosec de Microsoft annonce que son logiciel orion a été compromis, mais que le risque a été éliminé. Ils signalent que leur système ne semble pas avoir été compromis.
19 décembre
Selon les annonces des médias et des analystes en cybersécurité, les défenses d'environ 200 entreprises et institutions ont été compromises.
22 décembre
D'autres mises à jour de sécurité SolarWinds sont disponibles.
Veille de Noël
SolarWinds explique comment ses derniers patchs et correctifs de sécurité répondent à l'attaque Orion Supernova.
30 décembre
L'Agence pour la cybersécurité et l'infrastructure demande aux autres administrations de mettre à jour leur logiciel Orion avec la version 2020.2.1HF2.
2021 : Les conséquences de SolarWinds
5 janvier
5 janvier
6 janvier
Un journaliste du NYT écrit que la plateforme CI/CD TeamCity de JetBrians pourrait être impliquée dans la cyberattaque russe. Plus précisément, le serveur TeamCity aide les développeurs à créer des logiciels finalisés, dont le logiciel SolarWinds.
Le PDG de JetBrians nie qu'une enquête soit en cours et proclame qu'une erreur d'utilisation et une mauvaise configuration ont très bien pu conduire à une violation.
SolarWinds fait appel à son ancien PDG pour un conseil intérimaire afin de gérer les retombées de l'attaque.
8 janvier
SolarWinds intensifie ses efforts de relations publiques pour atténuer les réactions négatives, déclare qu'elle renforcera ses ressources en matière de cybersécurité et intensifiera ses efforts. SolarWinds fait appel à des consultants en infosécurité qui ont déjà travaillé pour Facebook et la CISA.
11 janvier
Kaspersky établit une comparaison entre l'attaque de SolarWinds et les activités antérieures des services de sécurité russes. complice de guerre cybernétique, le groupe Turla.
Crowdstrike explique comment les attaquants russes ont utilisé un outil appelé SUNSPOT pour attaquer les systèmes SolarWinds et créer leur porte dérobée SUNBURST.
SolarWinds recrute de nouveaux membres de l'équipe InfoSec et de nouvelles informations sur l'attaque sont publiées.
SolarWinds : Implications futures sur la sécurité des données et l'industrie de l'InfoSec.
Il n'y a pas eu de cyberattaque aussi médiatisée que celle de SolarWinds depuis de nombreuses années (à notre connaissance).
Même si nous ne connaîtrons jamais toute l'étendue de l'attaque, le consensus semble être qu'il s'agit d'une attaque de la chaîne d'approvisionnement à multiples facettes. Infiltration du serveur CI/CD dans la construction logicielle de solarwinds -> accès à la mise à jour du logiciel -> accès à la plateforme Orion des clients -> infiltration manuelle des réseaux des clients.
Les gouvernements fédéraux ont été compromis. Des entreprises du monde entier ont été compromises. Pour éviter de nouvelles attaques, nous devons améliorer la communication entre les équipes chargées de la cybersécurité. En partageant les informations sur les menaces en cours, nous pouvons éviter que des attaques comme celle-ci ne s'aggravent.
Les attaques contre la chaîne d'approvisionnement ne vont nulle part ; les logiciels tiers sont facilement manipulés pour infiltrer les applications avec lesquelles ils sont en interface. Ils font également l'objet de moins d'investigations et de considérations que les logiciels internes. Par conséquent, les entreprises vont certainement renforcer leurs défenses contre l'accès des fournisseurs tiers. Il reste à voir si cela suffira à empêcher des attaques similaires.
Bien que JetBrains n'ait pas été officiellement désigné comme l'un des vecteurs d'attaque, le fait qu'il ne puisse être exclu renforce l'importance de la protection de l'environnement de développement de logiciels. Les outils SAST, DAST et SCA pour les tests de sécurité vont se développer et devenir plus omniprésents afin d'étouffer les risques dans l'œuf avant qu'ils ne deviennent un problème plus important.
En tant que hypersegmentation et confiance zéro sont mises en œuvre, les équipes devront s'adapter aux nouvelles restrictions et trouver de nouveaux moyens de maintenir les opérations et les communications au sein du réseau.
Enfin, il est essentiel de maintenir des opérations de cycle de vie informatique sécurisées afin de protéger les supports physiques de données contre les fuites de données. En aidant nos clients ITAD, nous avons trouvé et sécurisé de nombreux logins et certificats numériques sur des supports inoffensifs tels que des clés USB laissées par accident dans les serveurs. Contactez-nous pour un devis gratuit pour protéger votre marque et récupérer le capital de vos actifs informatiques.