Sécurité : Certains systèmes SolarWinds ont été trouvés compromis par des logiciels malveillants nommés Supernova et CosmicGale, sans rapport avec la récente attaque dont le fournisseur a été victime).
Alors que le faisceau d'indices se révèle lentement à la suite de l'attaque de SolarWinds, les chercheurs en sécurité ont découvert un second acteur de la menace qui a exploité le logiciel SolarWinds pour implanter des logiciels malveillants sur les réseaux d'entreprises et gouvernementaux].
Les détails sur ce deuxième attaquant sont encore maigres, mais les chercheurs en sécurité ne pensent pas que cette deuxième entité soit liée aux pirates informatiques présumés soutenus par le gouvernement russe qui ont pénétré dans SolarWinds pour insérer un logiciel malveillant dans son application officielle Orion.
Le malware utilisé dans l'attaque initiale, dont le nom de code est Sunburst (ou Solorigate), a été livré aux clients de SolarWinds sous forme de mise à jour piégée pour l'application Orion. Sur les réseaux infectés, le logiciel malveillant envoyait un message à ses créateurs, puis téléchargeait un cheval de Troie à porte dérobée de seconde étape appelé Teardrop, qui permettait aux attaquants de lancer une session au clavier, soit un type d'attaque "human-operated" (autrement dit opérée par des humains).
Analyse des chercheurs de Microsoft
Mais dans les premiers jours qui ont suivi la divulgation publique du piratage de SolarWinds, les rapports initiaux ont mentionné deux charges utiles de deuxième étape. Des rapports de Guidepoint, Symantec et Palo Alto Networks ont expliqué en détail comment les attaquants ont également installé un shell.NET nommé Supernova.
Les chercheurs en sécurité pensent que les attaquants utilisent le shell web Supernova pour télécharger, compiler et exécuter un script Powershell malveillant (que certains ont nommé CosmicGale).
Toutefois, une analyse de suivi effectuée par les équipes de sécurité de Microsoft a permis de préciser que Supernova ne faisait pas partie de la chaîne d'attaque initiale. Les entreprises qui trouvent de la Supernova sur leurs installations SolarWinds doivent traiter cet incident comme une attaque distincte.
Selon un post sur GitHub de l'analyste de la sécurité de Microsoft Nick Carr, Supernova semble être implantée sur des installations SolarWinds Orion qui ont été laissées exposées en ligne et qui n'ont pas été désactivées et sont vulnérables à une vulnérabilité identifiée comme CVE-2019-8917.
Attaque distincte
La confusion que Supernova était liée à la chaîne d'attaque Sunburst/Teardrop venait du fait que, tout comme Sunburst, Supernova était déguisée en DLL pour l'application Orion - Sunburst étant cachée dans le fichier "SolarWinds.Orion.Core.BusinessLayer.dll" et Supernova dans "App_Web_logoimagehandler.ashx.b6031896.dll".
Mais dans une analyse publiée vendredi dernier, le 18 décembre, Microsoft a déclaré que contrairement à la DLL Sunburst, la DLL Supernova n'était pas signée avec un certificat numérique SolarWinds légitime. Le fait que Supernova n'ait pas été signé a été jugé extrêmement inhabituel pour les attaquants, qui jusqu'alors faisaient preuve d'un très haut degré de sophistication et d'attention aux détails dans leur opération.
Cela a inclus le fait de passer des mois sans être détecté sur le réseau interne de SolarWinds, d' ajouter à l'avance un code tampon factice à l'application Orion pour masquer l'ajout ultérieur de code malveillant, et de masquer leur code malveillant pour faire croire que les développeurs de SolarWinds l'ont écrit eux-mêmes.
Tout cela semblait être une erreur trop flagrante que les attaquants initiaux n'auraient pas commise, et, par conséquent, Microsoft pense que ce malware n'a aucun lien avec l'attaque initiale de la chaîne d'approvisionnement de SolarWinds.