FireEye a identifié un cinquième malware utilisé par le groupe de hackers qui a compromis SolarWinds. Nommé Sunshuttle, il sert à installer des portes dérobées chez les victimes.

Si l’attaque contre SolarWinds — et par extension, contre le gouvernement américain — est attribuée à un groupe de hackers lié à la Russie, l’identité exacte de ce groupe reste à déterminer. Comme le remarque le Bleeping Computer, chaque entreprise qui enquête sur l’affaire utilise un nom différent pour parler des hackers, même si tous restent dans le champ lexical de l’espace : CrowdStrike parle de « StellarParticle », Volexity de « Dark Halo », Palo Alto Unit 42 de « SolarStorm ». Tous, sauf une entreprise, FireEye, qui réfère au groupe par le code « UNC2452 ».

Justement, FireEye a publié le 4 mars un rapport sur un nouveau malware, baptisé Sunshuttle (encore une référence au Soleil et à l’espace), qu’il avait commencé à analyser en août 2020. L’entreprise, en première ligne de l’affaire SolarWinds, écrit dans son rapport : « Mandiant [une des équipes de recherche de FireEye, ndlr] a observé Sunshuttle chez une victime compromise par UNC2452, et a obtenu des éléments qui indiquent qu’il est lié à UNC2452, mais nous n’avons pas entièrement vérifié cette connexion ».

Sunburst a été nommé par l’entreprise de cybersécurité FireEye, première victime déclarée. // Source : CCO/Wikimedia

Sunshuttle est une «  porte dérobée sophistiquée », qui permet d’ouvrir discrètement un accès aux hackers sur le réseau de la victime. Sa finalité n’est pas sans rappeler celle de Sunburst, le cheval de Troie déployé chez les clients de SolarWinds. Même si techniquement elle ne lui ressemble pas, elle aurait pourtant les mêmes créateurs. Comme pour Sunburst, FireEye insiste sur la qualité et «  l’élégance » des moyens utilisés par les développeurs pour dissimuler le malware et le faire passer au travers des outils de détection.

Cinq malwares attribués aux hackers de SolarWinds

Sunshuttle n’est que le cinquième malware attribué aux hackers de SolarWinds, et surtout le premier qui n’est (à ce stade des enquêtes) pas impliqué dans l’attaque. Pour rappel, voici les quatre autres :

  • Le premier malware, nommé Sunburst par FireEye et Solarigate par Microsoft, est au centre de l’affaire SolarWinds. C’est le cheval de Troie dissimulé dans le logiciel Orion, qui a ouvert des portes dérobées chez les clients de l’entreprise, que les hackers ont ensuite emprunté pour voler des informations.
  • Le second, Sunspot, a été découvert plus tard par Crowdstrike. C’était le premier malware à intervenir dans la chaîne de l’attaque. Il a injecté une porte dérobée dans le moteur de production d’Orion, c’est-à-dire le serveur en charge de ses mises à jour, pour que les hackers puissent y déposer le code nécessaire au déploiement de Sunburst.
  • Le troisième, Teardrop a aussi été découvert par FireEye, et il va de pair avec Sunburst. Son rôle était de déployer des balises sur le réseau de la victime afin de recevoir des commandes à distance de la part des hackers.
  • Le quatrième malware, Raindrop, mis en lumière par Symantec, avait une fonctionnalité similaire à Teardrop, d’où la proximité entre les deux noms.

La découverte de ces malwares permet de créer au fur et à mesure un portrait-robot des hackers de SolarWinds, et d’analyser leurs habitudes. Mais pour découvrir leur identité, il faudra se montrer patient.

Crédit photo de la une : Interstellar

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux