Nouvelle recherche sur les logiciels malveillants qui ont ouvert la voie à la mégabreach chez un fournisseur informatique SolarWinds montre que les auteurs ont passé des mois dans les laboratoires de développement logiciel de l’entreprise à perfectionner leur attaque avant d’insérer du code malveillant dans des mises à jour que SolarWinds a ensuite expédiées à des milliers de clients. Plus inquiétant, la recherche suggère que les méthodes insidieuses utilisées par les intrus pour subvertir le pipeline de développement logiciel de l’entreprise pourraient être réutilisées contre de nombreux autres grands fournisseurs de logiciels.
Dans un article de blog publié le 11 janvier, SolarWinds a déclaré que les attaquants avaient d’abord compromis son environnement de développement le 4 septembre 2019. Peu de temps après, les attaquants ont commencé à tester du code conçu pour injecter subrepticement des portes dérobées dans Orion, une suite d’outils utilisée par de nombreuses entreprises Fortune 500 et une large partie du gouvernement fédéral pour gérer leurs réseaux internes.
Image: SolarWinds.
D’après SolarWinds et une analyse technique de CrowdStrike, les intrus essayaient de déterminer si leur «Tache solaire«Les logiciels malveillants – conçus spécifiquement pour saper le processus de développement logiciel de SolarWinds – pourraient réussir à insérer leurs programmes malveillants»Sunburst»Porte dérobée dans les produits Orion sans déclencher d’alarmes ni alerter les développeurs Orion.
En octobre 2019, SolarWinds a envoyé une mise à jour à ses clients Orion contenant le code de test modifié. En février 2020, les intrus avaient utilisé Sunspot pour injecter la porte dérobée Sunburst dans le code source d’Orion, qui était ensuite signé numériquement par la société et propagé aux clients via le processus de mise à jour logicielle de SolarWinds.
Crowdstrike a déclaré que Sunspot a été écrit pour être en mesure de détecter quand il a été installé sur un système de développement SolarWinds et d’attendre que les développeurs aient accès à des fichiers de code source d’Orion spécifiques. Cela a permis aux intrus de «remplacer les fichiers de code source pendant le processus de construction, avant la compilation», a écrit Crowdstrike.
Les attaquants ont également inclus des garanties pour empêcher les lignes de code de porte dérobée d’apparaître dans les journaux de construction du logiciel Orion, et des vérifications pour s’assurer qu’une telle falsification ne provoquerait pas d’erreurs de construction.
«La conception de SUNSPOT suggère [the malware] les développeurs ont investi beaucoup d’efforts pour s’assurer que le code était correctement inséré et resté non détecté, et ont donné la priorité à la sécurité opérationnelle pour éviter de révéler leur présence dans l’environnement de construction aux développeurs SolarWinds », a écrit CrowdStrike.
Une troisième souche de malware – surnommée « Larme » par FireEye, la société qui a révélé l’attaque SolarWinds pour la première fois en décembre – a été installée via les mises à jour d’Orion backdoor sur les réseaux que les attaquants de SolarWinds voulaient piller plus profondément.
Jusqu’à présent, le logiciel malveillant Teardrop a été trouvé sur plusieurs réseaux gouvernementaux, notamment les départements du commerce, de l’énergie et du Trésor, le ministère de la Justice et le bureau administratif des tribunaux américains.
SolarWinds a souligné que, bien que le code Sunspot ait été spécifiquement conçu pour compromettre l’intégrité de son processus de développement logiciel, ce même processus est probablement courant dans l’industrie du logiciel.
«Notre préoccupation est qu’à l’heure actuelle, des processus similaires peuvent exister dans des environnements de développement logiciel dans d’autres entreprises du monde entier», a déclaré SolarWinds PDG Sudhakar Ramakrishna. «La gravité et la complexité de cette attaque nous ont appris que pour lutter plus efficacement contre des attaques similaires à l’avenir, il faudra une approche à l’échelle de l’industrie ainsi que des partenariats public-privé qui tirent parti des compétences, des connaissances, des connaissances et des ressources de tous les constituants.»
Mots clés: CrowdStrike, FireEye, Orion, violation SolarWinds, Sudhakar Ramakrishna, malware Sunburst, malware Sunspot, malware Teardrop
- SUD BOIS Lot de 100 Chevilles à Frapper 8x100 ( 8 x 100 mm) pour Terrasse Bois et autresQuincaillerie Fixation technique : vis, boulons, clous Cheville Cheville pour support plein SUD BOIS, Lot de 100 Chevilles pré-montées à Frapper 8x100 ( 8 x 100 mm) avec tête fraisée pour Terrasse Bois et autres fixations. Prix à la boite de 100 pièces. Ces chevilles électro-zinguées
- SUD BOIS Lot de 100 Chevilles TC-CC à Frapper pour Terrasse Bois et autres fixationsQuincaillerie Fixation technique : vis, boulons, clous Cheville Cheville pour support plein SUD BOIS, Lot de 100 Chevilles pré-montées à Frapper avec têtes cylindrées, en polyamide 6.6 avec clou annelé. Prix à la boite de 100 pièces. Ces chevilles électro-zinguées permettent la fixation des
- SUD BOIS Lot de 100 Chevilles TC-CC à Frapper pour Terrasse Bois et autres fixationsQuincaillerie Fixation technique : vis, boulons, clous Cheville Cheville pour support plein SUD BOIS, Lot de 100 Chevilles pré-montées à Frapper avec têtes cylindrées, en polyamide 6.6 avec clou annelé. Prix à la boite de 100 pièces. Ces chevilles électro-zinguées permettent la fixation des