Pendant que des hackers russes déployaient le malware Sunburst dans le logiciel Orion de SolarWinds, des hackers chinois ont utilisé une faille du logiciel pour installer un autre malware, Supernova.

C’est un pan annexe de l’affaire SolarWinds qui s’était fait oublier. Fin décembre 2020,  Microsoft commençait son enquête sur la cyberattaque contre SolarWinds, connue sous le nom de Sunburst ou Solarigate. En disséquant le logiciel Orion de SolarWinds, celui infiltré par les hackers, l’entreprise avait exhumé des détails sur Sunburst, mais aussi découvert une seconde porte dérobée, nommée Supernova.

Sans identifier précisément l’origine de ce second malware, Microsoft écartait la possibilité qu’il soit lié à la « supply chain attack » au cœur de son enquête, attribuée à un groupe de hackers russes. Les chercheurs relevaient que si Supernova était moins élaborée que Sunburst, elle n’en restait pas moins dangereuse et avait une finalité similaire : exfiltrer des informations.

Supernova a aussi infecté SolarWinds. // Source : CCO/Pxhere

Depuis, les recherches se sont concentrées sur Sunburst, qui a mené à la compromission de plus de 18 000 organisations, dont une dizaine de branches du gouvernement américain. Le cumul des efforts a mené à la découverte de tout un arsenal créé sur mesure par les hackers. Mais pendant plus de deux mois, personne n’a fait mention de Supernova… jusqu’au lundi 8 mars. Secureworks, l’unité de recherche de Dell, a identifié le groupe à l’origine de l’attaque, et a livré le détail de ses conclusions à Cyberscoop.

Supernova, une attaque chinoise ?

Les chercheurs ont (re)découvert Supernova lors d’une enquête sur un incident subi par une entreprise (dont ils ne donnent pas le nom) en novembre 2020. Les hackers étaient passés par Orion pour s’immiscer dans certaines parties du réseau de leur victime. Plus précisément, ils s’étaient servis de la porte d’entrée ouverte par Supernova sur le système pour dérober des identifiants et ensuite accéder à des fichiers sensibles hébergés dans Microsoft 365.

Secureworks avait déjà observé ce mode opératoire lors d’une précédente intervention, sur un incident subi par Zoho Mail. Il avait attribué l’incident à un groupe de hacker chinois nommé Spiral, et plusieurs détails techniques indiquaient qu’ils étaient de nouveau derrière l’attaque. Spiral serait un APT (advanced persistent threat) un de ces groupes de hackers d’élite financés par un État, dans ce cas le gouvernement chinois. Comme souvent, Secureworks fait preuve de prudence sur cette attribution, en utilisant abondamment le conditionnel. Il faut dire que l’attribution d’attaque est un exercice périlleux tant d’un point de vue technique que diplomatique.

Tension croissante entre Chine et États-Unis

L’exemple d’utilisation de Supernova mis en avant par Secureworks est pour l’instant le seul connu publiquement. L’ampleur de la faille n’a donc rien à voir avec celle de Sunburst. Et surtout, pour exploiter Supernova, les hackers doivent obtenir un accès à la version d’Orion installée chez la victime, là où Sunburst a été distribué à tous les clients de SolarWinds.

Le timing de cette découverte est plutôt cocasse : Microsoft vient d’accuser un groupe de hackers à la solde du gouvernement chinois d’avoir exploité des failles dans son service d’email Exchange. De cette faille résulte une campagne de cyberattaques de grande ampleur, qui a poussé la Maison-Blanche à avertir les entreprises américaines. Déjà dans une position diplomatique délicate avec la Russie, les États-Unis pourraient se retrouver dans une position similaire avec la Chine.

Crédit photo de la une : CCO/piqsel

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux