Une aide bienvenue après la découverte du piratage de FireEye et de plusieurs administrations aux Etats-Unis. Le spécialiste de la cybersécurité, Microsoft et GoDaddy se sont associés pour mettre en œuvre un kill switch pour la backdoor Sunburst découverte dans le logiciel de monitoring réseau Orion de SolarWinds.

Pour mémoire, on a appris en début de semaine que des pirates probablement soutenus par un Etat (les soupçons se sont portés sur la Russie) avaient ajouté du code malveillant à un fichier DLL Windows utilisé par la plateforme Orion de SolarWinds. Ce fichier est une backdoor baptisée Solarigate par Microsoft et Sunburst par FireEye. Il a été distribué par le mécanisme de mise à jour automatique de SolarWinds à environ 18 000 clients dont le Trésor américain, mais aussi de grandes entreprises.

Un kill switch pour débrancher le déploiement de Sunburst

Rapidement, Microsoft, FireEye et SolarWinds ont livré une analyse de l’attaque et de la backdoor. Elle montre que Sunburst se connectait à un serveur de commande et contrôle dans un sous-domaine de avsvmcloud.com pour recevoir des commandes ou des tâches à exécuter. Ayant réussi à rediriger le flux du serveur sur une adresse IP, Microsoft et ses partenaires ont pu bloquer le trafic malveillant et l’analyser pour identifier d’autres victimes.

L’expert en cybersécurité Brian Krebs a été le premier à révéler que FireEye, Microsoft et GoDaddy ont collaboré pour créer un court-circuit contre Sunburst. FireEye explique d’être servi de la reprise de avsvmcloud.com pour élaborer un kill switch afin de désactiver le déploiement de la backdoor. Concernant le rôle de GoDaddy, le registrar a concentré les sous-domaines de avsvmcloud.com pour les faire pointer sur l’adresse 20.140.0.1 contrôlée par Microsoft, ainsi la backdoor ne peut plus continuer à recevoir des ordres. FireEye rappelle néanmoins que le kill switch ne produira ses effets que pour la diffusion de la backdoor. « Pour les organisations déjà atteintes, les pirates ont probablement installé des mécanismes persistants supplémentaires pour accéder au réseau des victimes ».