L'entreprise CrowdStrike a découvert un autre malware impliqué dans l'attaque contre SolarWinds, nommé Sunspot. Il a permis d'insérer le code de Sunburst dans le code source de Orion, le logiciel de SolarWinds compromis par les hackers.

Un à un, les mystères restants sur le hack de l’entreprise SolarWinds sont levés. CrowdStrike, une des entreprises commissionnées pour enquêter sur l’incident, a publié le 11 janvier un rapport sur un malware impliqué dans la cyberattaque, inconnu jusqu’ici. Ce logiciel malveillant baptisé « Sunspot » serait le premier maillon de l’attaque, en amont du désormais célèbre « Sunburst ».

Il aurait été introduit sur un serveur de l’entreprise dès septembre 2019. Plus précisément, Sunspot a infecté le moteur de production de SolarWinds, c’est-à-dire le système chargé de l’assemblage des logiciels du groupe. Son objectif : espionner la fabrique du logiciel Orion, le logiciel de gestion réseau de l’entreprise.

Sunspot a servi à installer Sunburst dans les mises à jours d’Orion. // Source : Pixabay (photo recadrée)

Comme le relève ZDNet, après une phase d’observation, Sunspot a ensuite inséré le code nécessaire à la mise en place du cheval de Troie Sunburst dans le code source d’Orion. Résultat : entre mars et juin 2020, si un client de SolarWinds installait la mise à jour du logiciel, il installait par le même biais Sunburst. Ce dernier ouvrait une porte sur les serveurs des victimes — plus de 18 000 organisations –, dans laquelle les hackers pouvaient s’engouffrer.

Ils n’avaient ensuite plus qu’à déposer manuellement un troisième malware, encore plus puissant, nommé « Teardrop », sur les systèmes de près des organisations qu’ils avaient dans le viseur. Ils ont ainsi procédé pour espionner 250 organisations, dont bon nombre de branches et d’agences du gouvernement américain : armée, renseignement, énergie… Autant de domaines critiques compromis par les hackers, « probablement » russes d’après les autorités américaines.

Une question reste : comment les hackers ont-ils déployé Sunspot ?

L’attaque contre SolarWinds s’est donc étalée de septembre 2019 à juin 2020, et n’a été découverte qu’en décembre 2020. C’est un constat d’échec pour l’entreprise victime, qui a désormais confié l’amélioration de sa sécurité à de grands noms du secteur.

De leur côté, les enquêteurs sont presque remontés tout au bout de la chaîne de l’attaque. Il ne leur reste plus qu’à découvrir comment les hackers sont parvenus à déployer Sunspot sur le moteur de production de SolarWinds. Les hypothèses fusent, mais cet élément reste un mystère pour l’instant. Ensuite, il leur faudra déterminer précisément qui a organisé l’attaque : les Russes, mais qui exactement ? Certains médias, dont le Washington Post, pointent vers APT29, surnommé Cozy Bear, un groupe de pirates d’élites lié à une des agences du renseignement russe. En attendant l’éventuelle de cette information, les pirates sont affublés de différents noms : DarkHalo, StellarParticle ou encore UNC2452. Bref, l’affaire SolarWinds est loin d’être finie.

Crédit photo de la une : CCO/Colin Behrens de Pixabay

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux