Qu’est-ce que la cyberattaque Solarwinds ?

Qu’est-ce que SolarWinds ?

Basé au Texas, SolarWinds est un fournisseur de solutions logicielles de gestion de l’infrastructure des technologies de l’information (IT) qui permet aux entreprises de surveiller et de gérer les performances de leurs environnements informatiques.

SolarWinds Orion, une plateforme de surveillance et de gestion de l’infrastructure réseau largement utilisée, est conçue pour assurer aux clients une visibilité sur les réseaux de différents fournisseurs afin qu’ils puissent identifier et résoudre les problèmes. Orion compte plus de 33 000 clients recensés, dont de nombreuses grandes entreprises du secteur privé et des agences gouvernementales. L’attaque en question aurait touché environ 18 000 de ces clients, soit bien plus de la moitié.

Le lendemain de la divulgation de la violation de SolarWinds, Forbes a fait savoir que les attaques pourraient atteindre le cœur de l’appareil de sécurité des États-Unis : « Selon un examen des dossiers publics, l’éventail des clients du gouvernement américain qui ont acheté SolarWinds Orion est immense. Le Pentagone est leur plus gros client, l’armée et la marine étant de grands utilisateurs. Le ministère des Anciens combattants, les instituts nationaux de la santé, le ministère de l’Énergie, le ministère de la Sécurité intérieure et le FBI figurent également parmi les nombreuses branches du gouvernement américain qui ont déjà acquis l’outil. »

Comment la cyberattaque de SolarWinds s’est-elle déroulée ?

L’attaque, baptisée SUNBURST dans les communications de SolarWinds, a affecté les versions 2019.4 à 2020.2.1 d’Orion, publiées entre mars et juin 2020.

Pour mener à bien l’attaque, les hackers ont modifié un plugin de la plateforme Orion distribué dans le cadre des mises à jour de la plateforme. Signé numériquement par SolarWinds, il contient une porte dérobée qui communique avec des serveurs tiers contrôlés par les hackers. Une fois que les hackers sont entrées dans les entreprises concernées, ils ont pu dérober des données, déployer des codes malveillants ou encore perturber les activités.

L’attaque est l’œuvre d’un adversaire sophistiqué qui possède une connaissance approfondie de la sécurité opérationnelle. D’après les données accessibles au public, cet adversaire a déployé des efforts considérables pour échapper à la détection, notamment en utilisant des techniques d’obscurcissement et de nettoyage du code telles que la stéganographie, des techniques d’empreintes digitales pour identifier les systèmes cibles et les systèmes d’analyse, une infrastructure de rotation axée sur la géolocalisation et l’exécution du code en mémoire autant que possible.

Ces techniques, associées à l’utilisation d’un composant signé numériquement d’une plateforme logicielle de confiance en tant que vecteur d’infection initial, sont révélatrices d’un adversaire hautement qualifié et dissimulé, prêt à dépenser des ressources pour assurer le succès de son opération.

Réaction et sanctions des États-Unis à la suite de l’attaque

L’attaque a touché de nombreuses agences gouvernementales fédérales américaines de renom, dont le ministère de la Justice (DOJ), le ministère de la Sécurité intérieure (DHS) et le ministère du Trésor, parmi d’autres. Elle a exposé les environnements de messagerie électronique Microsoft 365 de diverses agences fédérales, constituant un « incident majeur » qui justifiait une réponse défensive.

En avril 2021, une déclaration de la Maison Blanche a affirmé que l’administration Biden « imposerait des sanctions à la Russie pour les actions menées par son gouvernement et ses services de renseignement contre la souveraineté et les intérêts des États-Unis ». Ces actions visaient le gouvernement, le commerce et les services de renseignement russes, notamment l’expulsion des représentants diplomatiques des services de renseignement russes des États-Unis.

La même déclaration désignait officiellement le Service de renseignement extérieur russe (SVR) comme étant l’auteur de l’attaque. La CISA, le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA) ont publié un avis de sécurité commun contenant de plus amples détails.

Comment savoir si vous avez été victime d’une attaque ?

Afin de ne pas être détecté, l’adversaire semble avoir utilisé la porte dérobée dans SolarWinds Orion uniquement lorsque l’environnement cible présentait un intérêt particulier. Ainsi, l’analyse de l’activité de votre réseau est le seul moyen de savoir si un hacker a cherché à y accéder ou a obtenu un accès.

La campagne aurait commencé en mars 2020 ou avant (avec des tests possibles dès octobre 2019) et n’a pas impliqué d’indicateurs de compromission connus. En raison du volume de données concerné, de nombreuses entreprises ne conservent pas les journaux d’accès suffisamment longtemps pour déterminer si une compromission est survenue ou non.

Si un hacker déploie un malware dans votre environnement par le biais d’un système Orion compromis, il utilisera probablement des privilèges élevés pour commencer à examiner les actions qu’il peut entreprendre. Surveillez le système Orion affecté, ou d’autres systèmes qui ont communiqué avec lui, à la recherche de comportements tels que :

• Modification des tâches du système
• Modèle d’action sur le répertoire de type « supprimer-créer-exécuter-supprimer-créer »
• Comptes d’utilisateurs locaux inconnus ou nouvellement créés
• Existence ou preuve de l’utilisation d’Adfind.exe
• Signes de cmd.exe ou rundll32.exe créés à partir de solarwinds.businesslayerhost.exe
• Existence de règles de transfert/suppression d’e-mail inconnues et/ou très larges sur la passerelle de messagerie

Produits et versions d’Orion compromis

Le moyen le plus simple de savoir si vous avez été victime d’une attaque est de vérifier si vous utilisez un produit Orion compromis dans votre environnement. Les versions de la plateforme Orion affectées sont les suivantes :

• 2019.4 HF5, version 2019.4.5200.9083
• 2020.2 RC1, version 2020.2.100.12219
• 2020.2 RC2, version 2020.2.5200.12394
• 2020.2, version 2020.2.5300.12432
• 2020.2 HF1, version 2020.2.5300.12432

Que faire si vous êtes exposé à un risque

Si vous utilisez une version compromise de la plateforme Orion, procédez comme suit :

1. Isolez, déconnectez ou mettez hors tension immédiatement les systèmes infectés.
2. Examinez les journaux pour identifier toute activité de commande et de contrôle ou tout déplacement latéral à partir des systèmes infectés.
3. Réinitialiser toutes les informations d’identification utilisées par SolarWinds Orion et les services associés
4. Mettez à jour Orion vers la dernière version, conformément à cet avis.
5. Vérifiez si vous utilisez d’autres produits SolarWinds concernés, énumérés dans l’avis.

Meilleures pratiques pour protéger votre entreprise

Les attaques contre la chaîne d’approvisionnement ne cessent d’évoluer et il ne fait aucun doute que les hackers trouveront de nouveaux moyens de compromettre les opérations et les données sensibles des organismes publics et des sociétés privées. Pour réduire autant que possible les risques, Zscaler recommande de prendre les mesures suivantes :

• Éliminez votre surface d’attaque sur Internet, arrêtez les déplacements latéraux potentiels et bloquez les activités C2 avec une architecture Zero Trust.
• Activez l’inspection TLS/SSL complète et la prévention des menaces avancées sur le trafic de la charge de travail vers Internet.
• Exécutez un cloud sandbox inline pour identifier et bloquer les menaces inconnues.
• Mettez en place des protections pour le trafic C2 connu avec des mises à jour continues au fur et à mesure que de nouvelles destinations se présentent.
• Limitez l’impact des déplacements latéraux avec une microsegmentation basée sur l’identité pour les charges de travail du cloud.
• Choisissez des fournisseurs qui peuvent garantir les niveaux les plus élevés de confidentialité, d’intégrité et de disponibilité.

Même si vous ne prenez aucune autre mesure, les deux éléments suivants sont les plus critiques. Ils compliquent considérablement la tâche d’un adversaire qui tente de pénétrer dans votre environnement et vous permettent de détecter plus facilement les activités inhabituelles :

• Imposez l’accès sur la base du moindre privilège pour limiter la capacité des adversaires à exploiter leur position.
• Exigez une authentification multifacteur pour tout accès à des cibles de grande valeur.

En quoi Zscaler peut-il aider ?

Les attaques de la chaîne d’approvisionnement comptent parmi les cybermenaces modernes les plus sophistiquées et les plus difficiles à détecter. Pour vous défendre efficacement contre celles-ci, vous devez disposer d’une visibilité totale sur l’ensemble du trafic dans votre environnement, de plusieurs couches de sécurité et d’une compréhension claire de la posture de sécurité de toutes vos entreprises partenaires.

Zscaler Zero Trust Exchange™ protège votre entreprise contre les attaques avancées de la chaîne d’approvisionnement grâce à des services nativement intégrés et à des fonctionnalités de pointe grâce auxquelles vous pouvez :

• Identifier et arrêter les activités malveillantes provenant de serveurs compromis en acheminant l’ensemble du trafic des serveurs via Zscaler Internet Access™
• Restreindre le trafic provenant d’infrastructures critiques à une liste d’autorisation de destinations fiables
• Inspecter tout le trafic TLS/SSL à une échelle illimitée, même s’il provient de sources fiables
• Bloquer tous les domaines de commande et contrôle (C2) connus grâce à la protection contre les menaces avancées
• Étendre la protection C2 à tous les ports et protocoles avec Advanced Cloud Firewall (module Cloud IPS), y compris les destinations C2 émergentes
• Empêcher la diffusion de malwares inconnus en tant qu’éléments d’un payload de deuxième niveau grâce à Advanced Cloud Sandbox
• Limiter l’impact d’une compromission potentielle en restreignant les déplacements latéraux avec une microsegmentation basée sur l’identité via une architecture Zero Trust et Zscaler Workload Segmentation
• Protéger les applications stratégiques en limitant les déplacements latéraux grâce à Zscaler Private Access