Microsoft et d'autres chercheurs ont découvert une seconde porte dérobée sur le logiciel Orion de SolarWinds. Nommée Supernova, elle ne serait pas liée à Sunburst, l'attaque exploitée pour pirater le gouvernement américain. Bien que moins complexe, elle serait tout de même dangereuse.

Depuis maintenant plus d’une semaine, la quasi-intégralité des équipes de recherche en cybersécurité dissèque Orion, un logiciel de gestion de réseau édité par l’entreprise SolarWInds. Et pour cause : des hackers sont parvenus à infiltrer ses mises à jour pour y planter une porte dérobée (ou backdoor) nommée Sunburst. Ils ont ainsi obtenu un accès discret au réseau de milliers de clients de l’entreprise américaine, parmi lesquels de nombreuses branches du gouvernement américain. À la clé, c’est une des plus grandes opérations de cyberespionnage de l’Histoire qui se révèle progressivement.

Toutes les enquêtes, privées comme gouvernementales, attribuent l’attaque à un APT (Advanced Persistent Threat), un groupe de hackers d’élite à la solde d’un gouvernement. Si le gouvernement s’abstient pour l’instant de nommer officiellement ce pays, les chercheurs pointent du côté de la Russie. Cette théorie a été validée à demi-mot par le ministre des Affaires étrangères Mike Pompeo sur un plateau de télévision, mais le président Donald Trump est de son côté persuadé que la Chine est à l’origine de l’attaque (sans qu’aucune recherche sérieuse n’ait émis cette hypothèse.)

Un autre groupe de hacker aurait aussi compromis SolarWinds. // Source : Louise Audry pour Numerama

Avec l’accumulation des rapports de recherche sur Orion, une autre attaque a été découverte : Sunburst n’est pas le seul morceau de code malveillant embarqué dans certaines mises à jour. Un second morceau, nommé Supernova, avait été mis en lumière notamment par des rapports de Symantec et Palo Alto Network. Mais les chercheurs supposaient alors qu’elle faisait partie de la même chaîne d’attaque que Sunburst, qui visait à permettre l’installation d’autres logiciels malveillants.

Supernova s’avère moins complexe que Sunburst

Mais dans son dernier rapport sur l’attaque, daté du 18 novembre, Microsoft apporte une nouvelle précision. Le géant de la cybersécurité présente la possibilité que Supernova ait été planté dans Orion par d’autres hackers, et qu’elle ne fasse pas partie de la même opération. Autrement dit, SolarWinds aurait été infiltré par deux groupes de hackers à la même période. Les analystes de Microsoft écrivent : « L’enquête sur la compromission de SolarWinds a mené à la découverte d’un autre programme malveillant qui affecte aussi le produit Orion, mais qui ne serait pas lié à la même compromission, et ne serait pas utilisé par le même groupe de hackers ». Beaucoup reste à savoir sur ces derniers : leur identité, leurs motivations, leurs cibles…

Comme Sunburst, Supernova alerte un serveur de commande contrôlé par les hackers une fois qu’il est implanté sur le réseau de la victime. Les pirates peuvent ainsi déployer les programmes malveillants nécessaires à la suite de leurs manipulations, le tout à distance. ZDNet relève cependant que l’attaque emploie des techniques de dissimulation et de contamination plus basiques que celles de Sunburst. Par exemple, les hackers à l’origine de Sunburst étaient parvenus à faire signer leur code avec la signature officielle de SolarWinds, là où ceux de Supernova ne l’ont pas fait, laissant une chance aux outils de détections avancés. Cette différence de complexité est le principal indicateur différentiant entre les deux portes dérobées. Supernova présente un niveau de sophistication supérieur  à la moyenne, mais Sunburst est de l’ordre du jamais vu.

Puisque Supernova n’est pas la même attaque que Sunburst, les entreprises affectées doivent s’en charger à part. La grande majorité des logiciels de sécurité ont cependant déjà intégré les détections nécessaires pour l’identifier.

Crédit photo de la une : CCO/Pxhere

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux