Quelques jours après avoir subi une cyberattaque massive « de classe mondiale » perpétrée avec un probable soutien étatique, le fournisseur de solutions de sécurité américain a publié ce dimanche un long billet de blog apportant un éclairage sur la chaine de compromission liée à l'attaque informatique basé sur la backdoor « SUNBURST ». Cette dernière repose sur l'infection par chevaux de Troie de mises à jour de logiciels de surveillance et de gestion IT SolarWinds Orion couplée à la distribution de malware via une porte dérobée. FireEye indique suivre les activités de l'opérateur malveillant qui en est à l'origine sous la dénomination UNC2452 sans pointer du doigt une relation directe avec la Russie.
La cyberattaque rencontrée par FireEye la semaine dernière et celle décrite par l'éditeur qui a frappé de nombreux organismes dans le monde y compris le département du Trésor et du Commerce américains ont un point commun. Les pirates sont en effet parvenus à compromettre les mises à jour de l'outil de supervision SolarWinds Orion, utilisé notamment par FireEye. S'agit-il d'une attaque par rebond ayant d'abord spécifiquement visée l'éditeur avant de se répandre parmi ses clients ou bien FireEye figure-t-il simplement, comme toutes les autres entreprises concernées, comme une cible parmi d'autres ? A ce stade, difficile de pencher pour l'un ou l'autre de ces scenarios mais la cyberattaque contre FireEye pourrait bien n'être que le haut de l'iceberg. En tout état de cause, les victimes touchées par les mises à jour piégées de SolarWinds Orion apparaissent être tout autant des entités gouvernementales, de conseil, de technologie, de télécommunications aussi bien en Amérique du Nord, Europe, Asie et Moyen-Orient.
Une cyberattaque dont l'attribution est jugée infondée par la Russie
L'infection par trojan des mises à jour SolarWinds Orion a permis selon FireEye aux cybercriminels d'ouvrir une porte dérobée pour exécuter, après une période dormante de près de deux semaines, des commandes « Jobs » pour transférer et exécuter des fichiers, profiler le système mais aussi redémarrer les machines et désactiver les services système. « Le logiciel malveillant fait passer son trafic réseau sous le nom de protocole du programme d'amélioration d'Orion (OIP) et stocke les résultats de reconnaissance dans des fichiers de configuration de plug-in légitimes, ce qui lui permet de se fondre dans l'activité légitime de SolarWinds », a expliqué FireEye. « La porte dérobée utilise plusieurs listes de blocage cachées pour identifier les outils forensics et antivirus exécutés en tant que processus, services et pilotes ». La plupart des mises à jour piégées disposaient de signatures remontant à la période de mars à mai 2020.
Utilisée par plus de 300 000 organisations dans le monde dont le Pentagone, la NASA ou encore la Maison Blanche et le département de la Justice et l'agence de la sécurité nationale, la solution SolarWinds Orion doit faire l'objet de toutes les vigilances, en particulier si une mise à jour dont les dates de signature comprises entre mars et mai 2020 ont été récemment installées. « Nous estimons qu'il s'agit d'un évènement très important », a déclaré John Hultquist, directeur de l'analyse des menaces chez FireEye. « L'acteur malveillant opère furtivement, mais nous sommes certainement encore en train de trouver des cibles dans lesquelles il parvient à agir ». Ce dimanche, l'ambassade de la Russie aux Etats-Unis a décrit comme « infondées » dans un article sur sa page Facebook les « tentatives des médias américains de blâmer la Russie pour les attaques de pirates informatiques contre les organes gouvernementaux américains ».