Dévoilée la semaine dernière, la cyberattaque qui affecte tous les clients de SolarWinds Orion est d’une ampleur inégalée et va bouleverser l’univers IT et les process de sécurité des DSI durant des mois.

Petit rappel… Il y a 15 jours, FireEye dévoilait s’être fait dérober ses outils internes de PenTesting et ses recherches et développements en matière de surveillance des infrastructures clientes. Quelques jours après, FireEye et Microsoft révélaient que cette exfiltration avait été rendue possible parce que l’outil d’administration Orion de SolarWinds (ses binaires et peut-être même son code source) avait été altéré et répandait depuis plusieurs mois une backdoor chez tous les clients de ce logiciel réputé.

Depuis cette révélation, les uns et les autres commencent seulement à mesurer l’impact de cette « perversion » d’un outil de surveillance des infrastructures. Car SolarWinds comptent dans ses clients quelques grandes entreprises internationales mais aussi plusieurs entités gouvernementales.

La backdoor aurait été installée et exploitée à des fins d’espionnage par un groupe de hackers russes soupçonnés d’être financés par l’état dirigé par Vladimir Poutine. C’est tout du moins ce que prétend l’administration américaine (même si Trump de son côté dénonce une Fake News des médias et pointe le doigt vers la Chine). La Russie a, de son côté, nié toute implication dans cette attaque rappelant son engagement dans les accords internationaux récents et la volonté affichée par son président de restaurer la coopération américano-russe en matière de cybersécurité depuis l’initiative du 25 septembre.

L’attaque par elle-même

Selon Microsoft, le logiciel Orion est infecté depuis octobre 2019. La DLL « SolarWinds.Orion.Core.BusinessLayer.dll », signée numériquement, a été pervertie pour lancer régulièrement un code malveillant dynamique dénommé Sunburst. Ce dernier réalise plusieurs opérations d’évitement de détection qui expliquent en partie pourquoi il n’a pas été repéré plus tôt. Il vérifie que la machine sur laquelle il s’exécute ne contient pas de boucliers à même de le détecter, qu’il n’est pas en action sur des machines appartenant à SolarWinds (pour ne pas attirer l’attention de l’éditeur), qu’il s’exécute bien sûr les environnements qui intéressent les hackers (et non pas sur des environnements de tests ou des sandbox) et veille à utiliser des IP de destination pouvant paraître normales.

On ne sait pas encore exactement si c’est le code source de cette DLL qui a été altéré ou si c’est la chaîne de Build de l’application qui est infectée depuis des mois, SolarWinds n’ayant pas encore donné de détail à ce sujet.

En outre, certains hackers estiment que des opérateurs cloud ont pu être utilisés par les cyber-attaquants – et notamment le cloud de Microsoft – sans pour autant fournir de preuves ou de détails.
Selon DHS (Department of Homeland Security), les attaquants ont utilisé de multiples méthodes d’entrées et de déplacement dans les réseaux. Si des infrastructures cloud Microsoft ont été utilisées, elles n’ont pas joué un rôle clé dans ces attaques.

Microsoft a publié un communiqué précisant que « comme d’autres clients de SolarWinds, nous avons cherché activement des indicateurs de cette attaque et nous pouvons confirmer avoir détecté des binaires de SolarWinds malveillants dans notre environnement, binaires que nous avons isolés et supprimés. Nous n’avons trouvé aucune preuve d’accès aux services de production ou aux données des clients. Nos enquêtes, toujours en cours, n’ont trouvé absolument aucune indication que nos systèmes ont été utilisés pour attaquer d’autres entreprises ».

Brad Smith, président de Microsoft, revient en détail sur cette attaque dans un très long billet de blog et explique que cette cyber opération« représente malheureusement une vaste et fructueuse campagne d’espionnage, tant sur les informations confidentielles du gouvernement américain que sur les outils technologiques utilisés par les entreprises pour les protéger. L’attaque est en cours et fait l’objet d’une enquête et de réponses actives de la part des équipes de cybersécurité des secteurs public et privé, dont Microsoft.  Alors que nos équipes agissent en première ligne, les enquêtes en cours révèlent une attaque remarquable par sa portée, sa sophistication et son impact ».

Une chose est sûre, il va s’écouler encore de longues semaines avant que l’on puisse faire un inventaire des conséquences de cette attaque et mesurer son ampleur réelle.

Qui sont Les cibles ?

D’après différentes sources, grâce à cette porte dérobée intégrée au cœur même du logiciel Orion (à l’insu de SolarWinds), les cyberattaquants ont pu infiltrer les réseaux d’acteurs de la cybersécurité (comme FireEye), de plusieurs entités gouvernementales américaines, dont le Trésor, la sécurité nationale, le ministère du commerce, le département de l’énergie.

Mais d’une manière générale tous les clients de SolarWinds Orion ont été exposés. Si l’on en croit une page du site SolarWinds (retirée depuis quelques jours), 425 des entreprises du classement Top US Fortune 500 comptent parmi les clients de l’éditeur, y compris les 10 plus grandes entreprises Télécoms américaines et les 5 plus grandes firmes financières.

Mais SolarWinds n’a pas que des clients aux USA et FireEye a confirmé avoir détecté des activités liées à cette attaque dans « de multiples entités à travers le monde ». « Les victimes sont des entités gouvernementales, des services de conseil, de la technologie, des télécommunications en Amérique du Nord, en Europe, en Asie et au Moyen-Orient. Nous anticipons d’autres victimes dans d’autres pays et dans d’autres secteurs verticaux. FireEye a informé toutes les entités que nous savons avoir été pris pour cibles » explique l’éditeur.

Selon Microsoft, les versions infectées de SolarWinds Orion auraient ouvert une porte dérobée sur environ 18 000 serveurs à travers le monde mais les attaquants n’auraient réellement exploité cette ouverture que sur 40% d’entre eux, le plus souvent simplement pour déterminer à qui ils avaient ainsi accès.

Que faire et comment s’en prémunir ?

Le CERT-FR a publié un bulletin d’alerte. Il encourage RSSI, DSI et autres administrateurs IT des entreprises à :

– vérifier si la version de SolarWinds Orion utilisée par l’entreprise est affectée (toutes les versions 2019.4 et 2020.2.1). Si c’est le cas, le CERT-FR recommande de déconnecter les serveurs et considérer que le système d’information a pu être compromis. Il est essentiel de mettre au plus vite à jour les versions d’Orion vers les mises à jour « nettoyées » produites par SolarWinds et portant les numéros « 2019.4 HF5 » et « 2020.2.1 HF2 ».

– prendre connaissance des marqueurs proposés par FireEye et Microsoft, puis de procéder à des recherches d’éventuelles compromissions au sein du système d’information en appliquant les bonnes pratiques du CERT-FR.

De son côté, FireEye conseille aux responsables de la sécurité des entreprises qui utilisent Orion d’ « examiner les journaux des sessions SMB qui donnent accès à des répertoires légitimes et suivre toutes les opérations successives d’effacement-création-exécution-effacement-création réalisées dans des intervalles très courts. Ils doivent aussi surveiller les tâches planifiées de mises à jour temporaires. Et ils doivent auditer les tâches Windows légitimes exécutant de nouveaux binaires ou des binaires inconnus. »

En outre, si l’on en croit la NSA, les cyberattaquants ont profité de cette backdoor pour exploiter une faille dans VMware Access et VMware Identity Manager pour s’infiltrer au cœur des systèmes et créer s’accorder des accès administratifs. Il faut donc aussi veiller à mettre à jour ces outils.

Les leçons à en tirer

Cette attaque est surtout une nouvelle leçon qui, d’une part, encourage toutes les entreprises à réfléchir à leur supply-chain et comment mieux la contrôler et, d’autre part, invite à s’interroger sur la sécurité de sa chaîne DevOps ou CI/CD pour mieux la sécuriser et repérer les changements intervenus à toutes les étapes (des codes sources au déploiement en passant par l’assemblage des binaires).

Comme l’écrit Brad Smith, le président de Microsoft, « Il est essentiel de prendre du recul et d’évaluer l’importance de ces attaques dans leur contexte. Ce n’est pas de l’espionnage « as usual » (comme d’habitude), même à l’ère numérique. Au lieu de cela, il s’agit d’une imprudence qui a créé une grave vulnérabilité technologique contre les États-Unis et le monde. En fait, il ne s’agit pas juste d’une attaque contre des cibles précises, mais tout autant d’une attaque sur la confiance et la fiabilité d’une infrastructure essentielle au profit de l’intelligence d’un pays. Bien que l’attaque la plus récente semble cibler principalement sur les États-Unis et sur d’autres démocraties, elle doit être perçue comme un puissant rappel que les populations de pratiquement tous les pays sont virtuellement en danger … ».

Il y aura le monde d’avant et le monde d’après Sunburst… comme il y aura un monde d’avant et un monde d’après COVID-19…