SolarWinds Orion : LA compromission de 2020(/2021?)

Cette attaque est particulièrement impressionnante à plusieurs niveaux :

  • Le niveau de complexité de l’attaque 
  • Le spectre des victimes de l’attaque 
  • Les conséquences suite à la découverte 

Que faut-il retenir de la compromission ? 

Cette compromission, découverte en Décembre 2020, continue à être un sujet d’actualité aujourd’hui. 

Le 11 janvier 2021, les équipes de SolarWinds ont publié de nouvelles découvertes nous permettant de retracer la chaîne des évènements (https://www.solarwinds.com/fr/sa-overview/securityadvisory). 

La compromission la plus lointaine date de Septembre 2019. Les attaquants seraient parvenus à accéder aux serveurs de compilation de SolarWinds. Ces serveurs permettent de créer les dernières versions des logiciels qui seront mises à disposition des clients. 

Le logiciel Orion permet aux DSI de cartographier et surveiller les postes du système d’information. Ce dernier était un standard de l’industrie, utilisé par de nombreuses entreprises du Fortune 500 ainsi que des institutions américaines. 

La compromission des serveurs de compilation d’Orion a permis aux attaquants d’injecter une porte dérobée nommée SUNBURST dans le logiciel qui a ensuite été distribué aux clients de SolarWinds. Cette porte dérobée était réalisée avec un véritable travail d’ingénierie derrière. Le code de la porte dérobée suivait les conventions de nommage et de programmation d’Orion. De plus divers éléments ont été ajoutés afin de limiter le bruit généré par ces portes dérobées (désactivation de warnings à la compilation, prévention de l’exécution de la porte dérobée dans certains environnements). Une lecture du code ne permettrait pas aux premiers abords de détecter l’ajout de cette porte dérobée. 

Détection et investigation

La première détection a été effectuée grâce à l’utilisation d’une authentification avec facteur fort. Les attaquants ont essayé d’intégrer leur propre périphérique afin de pouvoir s’authentifier. Cette tentative d’enrôlement a levé une alerte sur les consoles de supervision qui ont permis de détecter l’attaque. 

Les investigations ont ensuite permis de découvrir de nouveaux logiciels de post-exploitation baptisés :  

  • Teardrop, une porte dérobée déployée par SUNBURST, permettant aux attaquants d’obtenir un accès distant au service compromis 
  • Sunspot, une porte dérobée, laissée sur les serveurs de compilation pour permettre l’injection automatique de SUNBURST dans les nouvelles versions d’Orion.  

SolarWinds Orion aujourd’hui

Aujourd’hui, l’incident est toujours en cours d’investigation et des tensions sont vives entre la Russie et les États-Unis comme le démontre ce dernier communiqué du NKTSKI (Original : https://beta.documentcloud.org/documents/20462323-nktski-alert-in-response-to-biden-admin-comments). 

(https://www.wired.com/story/solarwinds-russia-hackers-turla-malware/

Enfin, d’après les révélations faites par Microsoft lors d’une audition au congrès, ce malware serait lié au groupe d’attaquants Turla, groupe reconnu pour ses liens avec le gouvernement Russe. 

En ce premier trimestre 2021, de nouvelles déclarations continuent de surprendre le monde de la cybersécurité (notamment : la documentation d’Orion demandait de mettre le dossier de la solution en exclusion de l’antivirus ou encore la compromission serait due aux mauvaises pratiques de sécurité d’un stagiaire qui aurait laissé un mot de passe par défaut) et au vu des éléments qu’il reste encore à traiter, il est probable qu’on entende encore parler de SolarWinds pour une bonne partie de l’année 2021. 

Nous vous proposons de mettre en lumière les 5 actus chocs de 2020 ! Découvrez les 4 autres :

Afin de vous tenir au courant de l’actualité, nous vous recommandons de souscrire à notre service de veille yuno que vous pourrez essayer gratuitement. Vous aurez accès à une veille technique et une veille informationnelle le tout associé à un niveau de criticité.

par Aurélien Denis, Consultant, XMCO


Paloma Siggini