Consultez notre Centre d’informations SolarWinds pour en savoir plus.
Vous pouvez également explorer les fonctionnalités de la plateforme complète Zero Trust Exchange.
La cyberattaque menée contre SolarWinds était une attaque de la chaîne d’approvisionnement logicielle impliquant la plateforme de SolarWinds Orion, dans le cadre de laquelle un État-nation russe a accédé aux systèmes de SolarWinds et a déployé des mises à jour « trojanisées » du logiciel Orion. Cela a permis aux hackers d’installer des malwares furtifs sur les réseaux des clients de SolarWinds. L’attaque de SolarWinds a été divulgué par de nombreuses sociétés de cybersécurité en collaboration avec l’agence américaine CISA (Cybersecurity and Infrastructure Security Agency) en décembre 2020.
Basé au Texas, SolarWinds est un fournisseur de solutions logicielles de gestion de l’infrastructure des technologies de l’information (IT) qui permet aux entreprises de surveiller et de gérer les performances de leurs environnements informatiques.
SolarWinds Orion, une plateforme de surveillance et de gestion de l’infrastructure réseau largement utilisée, est conçue pour assurer aux clients une visibilité sur les réseaux de différents fournisseurs afin qu’ils puissent identifier et résoudre les problèmes. Orion compte plus de 33 000 clients recensés, dont de nombreuses grandes entreprises du secteur privé et des agences gouvernementales. L’attaque en question aurait touché environ 18 000 de ces clients, soit bien plus de la moitié.
Le lendemain de la divulgation de la violation de SolarWinds, Forbes a fait savoir que les attaques pourraient atteindre le cœur de l’appareil de sécurité des États-Unis : « Selon un examen des dossiers publics, l’éventail des clients du gouvernement américain qui ont acheté SolarWinds Orion est immense. Le Pentagone est leur plus gros client, l’armée et la marine étant de grands utilisateurs. Le ministère des Anciens combattants, les instituts nationaux de la santé, le ministère de l’Énergie, le ministère de la Sécurité intérieure et le FBI figurent également parmi les nombreuses branches du gouvernement américain qui ont déjà acquis l’outil. »
Steven J. Vaughan-Nichols, ZD-Net, 4 janvier 2021
L’attaque, baptisée SUNBURST dans les communications de SolarWinds, a affecté les versions 2019.4 à 2020.2.1 d’Orion, publiées entre mars et juin 2020.
Pour mener à bien l’attaque, les hackers ont modifié un plugin de la plateforme Orion distribué dans le cadre des mises à jour de la plateforme. Signé numériquement par SolarWinds, il contient une porte dérobée qui communique avec des serveurs tiers contrôlés par les hackers. Une fois que les hackers sont entrées dans les entreprises concernées, ils ont pu dérober des données, déployer des codes malveillants ou encore perturber les activités.
L’attaque est l’œuvre d’un adversaire sophistiqué qui possède une connaissance approfondie de la sécurité opérationnelle. D’après les données accessibles au public, cet adversaire a déployé des efforts considérables pour échapper à la détection, notamment en utilisant des techniques d’obscurcissement et de nettoyage du code telles que la stéganographie, des techniques d’empreintes digitales pour identifier les systèmes cibles et les systèmes d’analyse, une infrastructure de rotation axée sur la géolocalisation et l’exécution du code en mémoire autant que possible.
Ces techniques, associées à l’utilisation d’un composant signé numériquement d’une plateforme logicielle de confiance en tant que vecteur d’infection initial, sont révélatrices d’un adversaire hautement qualifié et dissimulé, prêt à dépenser des ressources pour assurer le succès de son opération.
L’attaque a touché de nombreuses agences gouvernementales fédérales américaines de renom, dont le ministère de la Justice (DOJ), le ministère de la Sécurité intérieure (DHS) et le ministère du Trésor, parmi d’autres. Elle a exposé les environnements de messagerie électronique Microsoft 365 de diverses agences fédérales, constituant un « incident majeur » qui justifiait une réponse défensive.
En avril 2021, une déclaration de la Maison Blanche a affirmé que l’administration Biden « imposerait des sanctions à la Russie pour les actions menées par son gouvernement et ses services de renseignement contre la souveraineté et les intérêts des États-Unis ». Ces actions visaient le gouvernement, le commerce et les services de renseignement russes, notamment l’expulsion des représentants diplomatiques des services de renseignement russes des États-Unis.
La même déclaration désignait officiellement le Service de renseignement extérieur russe (SVR) comme étant l’auteur de l’attaque. La CISA, le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA) ont publié un avis de sécurité commun contenant de plus amples détails.
Lucian Constantin, CSO Online, 15 décembre 2020
Afin de ne pas être détecté, l’adversaire semble avoir utilisé la porte dérobée dans SolarWinds Orion uniquement lorsque l’environnement cible présentait un intérêt particulier. Ainsi, l’analyse de l’activité de votre réseau est le seul moyen de savoir si un hacker a cherché à y accéder ou a obtenu un accès.
La campagne aurait commencé en mars 2020 ou avant (avec des tests possibles dès octobre 2019) et n’a pas impliqué d’indicateurs de compromission connus. En raison du volume de données concerné, de nombreuses entreprises ne conservent pas les journaux d’accès suffisamment longtemps pour déterminer si une compromission est survenue ou non.
Si un hacker déploie un malware dans votre environnement par le biais d’un système Orion compromis, il utilisera probablement des privilèges élevés pour commencer à examiner les actions qu’il peut entreprendre. Surveillez le système Orion affecté, ou d’autres systèmes qui ont communiqué avec lui, à la recherche de comportements tels que :
Le moyen le plus simple de savoir si vous avez été victime d’une attaque est de vérifier si vous utilisez un produit Orion compromis dans votre environnement. Les versions de la plateforme Orion affectées sont les suivantes :
Si vous utilisez une version compromise de la plateforme Orion, procédez comme suit :
Lucian Constantin, CSO Online, 15 décembre 2020
Les attaques contre la chaîne d’approvisionnement ne cessent d’évoluer et il ne fait aucun doute que les hackers trouveront de nouveaux moyens de compromettre les opérations et les données sensibles des organismes publics et des sociétés privées. Pour réduire autant que possible les risques, Zscaler recommande de prendre les mesures suivantes :
Même si vous ne prenez aucune autre mesure, les deux éléments suivants sont les plus critiques. Ils compliquent considérablement la tâche d’un adversaire qui tente de pénétrer dans votre environnement et vous permettent de détecter plus facilement les activités inhabituelles :
Les attaques de la chaîne d’approvisionnement comptent parmi les cybermenaces modernes les plus sophistiquées et les plus difficiles à détecter. Pour vous défendre efficacement contre celles-ci, vous devez disposer d’une visibilité totale sur l’ensemble du trafic dans votre environnement, de plusieurs couches de sécurité et d’une compréhension claire de la posture de sécurité de toutes vos entreprises partenaires.
Zscaler Zero Trust Exchange™ protège votre entreprise contre les attaques avancées de la chaîne d’approvisionnement grâce à des services nativement intégrés et à des fonctionnalités de pointe grâce auxquelles vous pouvez :
Consultez notre Centre d’informations SolarWinds pour en savoir plus.
Vous pouvez également explorer les fonctionnalités de la plateforme complète Zero Trust Exchange.
Zscaler ThreatLabz : Centre d’informations SolarWinds
Trouver des ressourcesAttaques de la chaîne d’approvisionnement : ce qu’elles sont, comment elles fonctionnent, et comment protéger votre entreprise
Lire le blogLe Guide de la réponse aux incidents de SolarWinds
Lire le blogCouverture de Zscaler pour les cyberattaques SolarWinds et FireEye Red Team Tools Theft
Lire le blogÊtes-vous préparé aux attaques de la cyberguerre russe ?
Lire le blog