Que s’est-il passé et comment vous protéger –
Les agences fédérales et les organisations mondiales ont été compromises dans une cyberattaque à long terme parrainée par l’État. Les acteurs de la menace ont mené une attaque de la chaîne d’approvisionnement à l’aide d’un logiciel SolarWinds compromis. Voici ce qui s’est passé et comment rester en sécurité.
Sommaire
Logiciel Trojan
Le logiciel cheval de Troie contient une charge malveillante cachée. Vous pensez que vous installez une application mais en fait, il y a des passagers clandestins dans la routine d’installation qui sont installés en même temps. Ou l’application que vous installez a elle-même été compromise et contient désormais du code malveillant.
Un exemple récent est une application de lecture de codes à barres qui a été supprimée de l’App Store de Google Play. Le lecteur de codes à barres était publié depuis plusieurs années et disposait d’une base installée saine de 10 millions d’utilisateurs. Il a été vendu à un nouveau propriétaire, «The Space Team», basé en Ukraine, fin 2020.
Suite à une mise à jour de l’application, les utilisateurs ont été en proie à des publicités. Leur navigateur par défaut s’ouvrirait tout seul. Des liens et des boutons pour télécharger et installer d’autres applications seraient en cascade sur leur écran. Les nouveaux propriétaires avaient modifié le code de l’application du scanner pour inclure les logiciels malveillants. L’application était approuvée par ceux qui l’avaient déjà installée, donc une mise à jour ne poserait aucun problème. Mais la mise à jour qu’ils s’attendaient à fournir des corrections de bogues et de nouvelles fonctionnalités a en fait compromis leur appareil. Le lecteur de codes-barres jusque-là innocent était désormais un cheval de Troie.
L’application de lecteur de codes à barres avait été désignée comme un bon achat par les acteurs de la menace. Sa solide base d’utilisateurs en faisait un mécanisme de transport pratique pour déposer leurs logiciels malveillants sur jusqu’à 10 millions de smartphones. Ils ont acheté l’application, modifié son code et l’ont envoyée sous forme de mise à jour. Vraisemblablement, le coût d’achat de l’application était considéré comme un coût de fonctionnement de l’arnaque, à récupérer sur leurs profits criminels. Pour les acteurs de la menace, c’était probablement un moyen simple et bon marché d’accéder à 10 millions de smartphones.
La violation de SolarWinds
Le hack SolarWinds est similaire mais dans une ligue tout à fait différente. SolarWinds crée et vend des logiciels de surveillance et de gestion pour les réseaux d’entreprise. Pour fournir les informations détaillées et granulaires dont les administrateurs système ont besoin pour maintenir l’efficacité des ressources informatiques dont ils sont responsables, le logiciel SolarWinds requiert des droits d’accès extrêmement privilégiés au réseau.
Comme pour le lecteur de codes à barres, le logiciel SolarWinds n’était pas la cible, mais simplement le mécanisme de distribution. SolarWinds Orion est un outil complet de surveillance et de reporting de la pile informatique. Il a été compromis par des acteurs de la menace. Ils ont secrètement modifié une bibliothèque de liens dynamiques (DLL) appelée SolarWinds.Orion.Core.BusinessLayer.dll
. La DLL contaminée a été incluse dans les versions SolarWinds Orion 2019.4 à 2020.2.1 HF1. Ces mises à jour ont été publiées entre mars et juin 2020. Tout comme l’application de scanner de codes à barres, les mises à jour ont été utilisées pour distribuer le malware aux clients existants. Le malware a été nommé SUNBURST par les chercheurs en cybersécurité de FireEye.
La sophistication de la violation initiale des systèmes de SolarWinds, la complexité du code cheval de Troie, l’exploitation d’une vulnérabilité zero-day et les méthodes techniquement exigeantes pour éviter la détection après la compromission indiquent que les auteurs sont des Advanced sponsorisés par l’État. Groupe de menaces persistantes.
Cela se confirme davantage lorsque vous regardez la liste des victimes. Ils comprennent des agences américaines de haut niveau et des départements fédéraux, des opérateurs au sein de l’infrastructure critique des États-Unis, des organisations mondiales et des entreprises privées. Le Trésor américain, le Department of Homeland Security, le Department of State, le Department of Defence et le Department of Commerce ont tous été victimes. En tout, environ 18 000 installations sont tombées sous le coup des mises à jour corrompues.
Une fois que les mises à jour infectées sont appliquées aux réseaux des clients, le malware s’installe et reste inactif pendant environ deux semaines. Il envoie ensuite des requêtes HHTP aux serveurs des acteurs de la menace pour récupérer des commandes sur lesquelles il agit ensuite. Il fournit une porte dérobée aux acteurs de la menace directement dans les réseaux infectés.
Le trafic réseau généré par le malware est déguisé en trafic de protocole Orion Improvement Program (OIP). Cela aide le malware à ne pas être détecté. Il est également conscient de nombreux types d’antivirus, d’antimalware et d’autres logiciels de protection des terminaux et peut les esquiver et les éluder.
Cependant, l’un des clients de SolarWinds était FireEye, une société de cybersécurité bien connue. Lorsque des actifs logiciels propriétaires ont été volés à FireEye, ils ont lancé une enquête qui a découvert le malware et le lien vers SolarWinds.
Il s’agit d’une attaque classique de la chaîne d’approvisionnement. Au lieu de se demander comment infecter toutes les organisations cibles, les acteurs de la menace ont attaqué l’un de leurs fournisseurs communs, se sont assis et ont attendu que le processus de mise à jour normal ait lieu.
Évaluer votre chaîne d’approvisionnement
Pour évaluer correctement le risque d’attaque de la chaîne d’approvisionnement, vous devez bien comprendre votre chaîne d’approvisionnement. Cela signifie le cartographier. Portez une attention particulière aux fournisseurs de matériel et de logiciels réseau. Si vous utilisez un fournisseur de services gérés (MSP) externalisé, vous devez être conscient qu’il s’agit de cibles de grande valeur pour les cybercriminels. S’ils peuvent compromettre un MSP, ils ont les clés du royaume pour tous les clients du MSP.
Faites attention à tout fournisseur qui envoie régulièrement du personnel de service ou de maintenance dans vos locaux. S’ils maintiennent tout type d’équipement qui se connecte à votre réseau, il est probable que l’ingénieur de service se connecte à votre réseau lorsqu’ils sont sur place. Si votre ordinateur portable a été compromis parce que le réseau de leur employeur a été ciblé, vous serez infecté. Et vous n’êtes peut-être pas la cible du cybercriminel. C’est peut-être l’un des autres clients de ce fournisseur. Mais avec une attaque de la chaîne d’approvisionnement, de nombreuses autres entreprises sont prises entre deux feux et subissent des dommages collatéraux. Que vous soyez la cible ou non ne soulage pas le coup si vous êtes compromis.
Une fois que vous avez identifié les fournisseurs qui touchent directement ou indirectement votre réseau, vous pouvez effectuer une évaluation des risques. En prenant chaque fournisseur à tour de rôle, quelle est la probabilité qu’il soit utile dans une attaque de la chaîne d’approvisionnement. Que gagneraient les cybercriminels? Qui sont les autres clients du fournisseur? Certains d’entre eux sont-ils des cibles attrayantes pour un groupe APT financé par l’État? Les agences de renseignement, tout ce qui a trait à l’armée, aux infrastructures critiques ou aux départements gouvernementaux sont des cibles à haut risque qu’un APT pourrait tenter de piéger avec une attaque de la chaîne d’approvisionnement.
Le revers de la médaille est que les contrats d’approvisionnement des agences de renseignement, de l’armée et du gouvernement ne sont attribués qu’à des fournisseurs qui peuvent démontrer qu’ils opèrent en toute sécurité et disposent d’une cybersécurité efficace. Dans des circonstances exceptionnelles – et en particulier lorsque des vulnérabilités zero-day sont impliquées – toute organisation peut être violée. C’est ce qui est arrivé à SolarWinds.
Discutez de vos objectifs et de vos préoccupations avec vos fournisseurs. Peuvent-ils prouver une certification ou une conformité aux normes en matière de cybersécurité? Vont-ils révéler leur historique d’incidents de cybersécurité et de gestion des incidents? Comment pouvez-vous coopérer pour garantir un fonctionnement sécurisé dans vos relations commerciales en cours?
L’audit des nouveaux fournisseurs devrait devenir une procédure standard, et au moins un audit annuel pour les fournisseurs existants. S’ils sont trop loin pour voyager, envoyez-leur au moins une série de questions et demandez-leur de les compléter et de faire une attestation que ce qu’ils disent est vrai.
En plus de vous protéger contre une attaque de la chaîne d’approvisionnement, vous devez tenir compte du risque que votre chaîne d’approvisionnement s’effondre en raison d’une cyberattaque, que vous soyez directement impliqué dans l’attaque ou non. Si une section critique de votre chaîne d’approvisionnement s’effondre, vous êtes confronté à une urgence d’un autre type. Pouvez-vous vous procurer toutes vos fournitures essentielles auprès d’autres fournisseurs? Que pouvez-vous faire à propos des produits ou services de niche que vous ne pouvez pas facilement ou rapidement obtenir ailleurs?
Au lieu d’une seule chaîne d’approvisionnement linéaire pour les approvisionnements critiques ou stratégiques, il peut être possible d’établir plusieurs lignes d’approvisionnement parallèles. Si l’un casse, les autres peuvent continuer. Cela n’augmente pas la sécurité, mais augmente la robustesse et la durabilité de votre chaîne d’approvisionnement.
Autres mesures à prendre
Si vous êtes un client SolarWinds, vous devez consulter l’avis de sécurité SolarWinds et prendre les mesures nécessaires. Consultez également la directive d’urgence du Department of Homeland Security et suivez les instructions applicables.
Le malware SUNBURST utilisait une technique qui lui permettait d’accéder ou de générer des certificats d’authentification afin de pouvoir accéder à des services protégés. Trimarc Security a partagé un script Powershell qui analysera une forêt Active Directory à un seul domaine et signalera toutes les faiblesses trouvées.