Retour au blog

Décryptage cyberattaque Solarwinds

Cybersécurité • 12 janvier 2021

La fin d'année 2020 a été reconnue par une cyberattaque d'un rare niveau de sophistication.

La plupart des experts attribuent cette attaque à un état, motivé par la qualité des informations dérobées aux victimes.

De manière générale, les victimes de cette attaque sont des organisations "critiques", dont les informations représentent une valeur importante pour un état ou une entreprise concurrente.

Parmi les victimes, nous pouvons citer les plus connues comme Microsoft, VMware, les départements du commerce, du trésor et de la sécurité intérieure des Etats-Unis, Cisco, SAP, Intel, Deloitte et bien d’autres.

Nous ne savons pour le moment que très peu de choses sur le déroulement de cette attaque et nous n’en saurons certainement pas plus tant la nature de l’attaque et ses victimes sont sensibles.

Dans cet article, nous tenterons d’éclaircir le déroulement le plus probable de cette attaque en se basant sur les informations rendues publiques et sur les techniques utilisées par ce genre de groupuscules étatiques.

 

Que savons-nous de cette attaque.

En décembre dernier, l’entreprise FireEye spécialisée en cybersécurité annonce avoir été victime d’un piratage informatique ayant mené au vol de leurs logiciels de détection et d’exploitation de vulnérabilités.

Ces logiciels très sensibles pourraient, entre de mauvaises mains, mener à d’autres cyberattaques dévastatrices.

Cette révélation est suivie quelques jours après par le résultat de l’analyse de FireEye sur cette attaque : celle-ci serait passée par un logiciel nommé Orion proposé par l’éditeur Solarwinds.

Ce logiciel, utilisé par 33 000 entreprises à travers le monde, permet de surveiller le bon fonctionnement de son parc informatique, indispensable pour de nombreuses grandes entreprises.

Le logiciel Orion aurait donc été modifié pour contenir un cheval de troie, un logiciel malveillant permettant de prendre le contrôle d’un réseau à distance sans laisser de trace.

Très rapidement, Solarwinds déclare lui aussi avoir été victime d’une attaque en octobre 2019 ayant permis aux attaquants de modifier le code de la prochaine mise à jour de son logiciel Orion pour y inclure ce cheval de troie.

L’éditeur précise que 18 000 de ses clients ont téléchargé et installé cette mise à jour depuis mars 2020 et sont donc, de manière certaine, infectés par ce logiciel malveillant.


De nombreuses entreprises et départements d'État américains ont par la suite confirmé avoir également repéré ce logiciel malveillant dans la version d’Orion qu’ils utilisent.

La plupart des 18 000 clients ayant installé cette mise à jour infectée n’ont fait aucune communication mais de nombreuses entreprises du CAC40 font également parties des clients de Solarwinds et n’ont pour l’instant pas communiqué sur leur situation.

Déroulement supposé de l’attaque

Le choix de la cible (indirecte) et la porte d'entrée

La cible des hackers n’était très certainement pas Solarwinds mais l’une des grandes entreprises privées ou département d’Etat américain cités plus haut.

Il est quasi impossible de pirater une cible de cette envergure en s’y attaquant frontalement, il fallait alors trouver un moyen de les atteindre indirectement.

Identifier une cible de “second rang” pour atteindre la cible finale : cette approche est de plus en plus répandue et contraint les grandes entreprises et administrations publiques à renforcer le contrôle de leur écosystème (clients, fournisseurs, partenaires, collaborateurs externes).

Une brève étude des logiciels utilisés par la cible a donc permis d’identifier le logiciel Orion comme passerelle possible.

En effet, pour fonctionner, le logiciel Orion nécessite des droits étendus sur le réseau d’une entreprise.

Qu'entend on par “droits étendus” ?
Cela signifie que le logiciel Orion bénéficie d’une sorte d’accès administrateur sur le réseau lui permettant de communiquer facilement avec tous les serveurs de l’entreprise sans être bloqué par les pare-feux.
Infecter Orion signifie donc pouvoir utiliser ces mêmes droits mais de manière malveillante.

Ainsi, l’attaque a débuté en ciblant Solarwinds dans le but d’infecter leur logiciel Orion.

Identification des accès à usurper

Pour usurper les accès d’Orion, il faut modifier son code source pour y inclure ce cheval de troie.

Chez Solarwinds, tous les salariés n’ont évidemment pas les accès suffisants pour modifier le code source d’Orion et y intégrer un cheval de troie.

Dérober les accès d’une personne travaillant aux ressources humaines par exemple n’aurait pas grand intérêt dans ce cas.

Il a donc fallu identifier les bonnes cibles chez Solarwinds, potentiellement à l’aide de Linkedin ou d’informations publiquement accessibles indiquant les identités des personnes à privilèges chez Solarwinds.

C’est donc un travail de veille, qui constitue la seconde étape du processus avec, à la clef, l’identification d’une ou plusieurs personnes à responsabilité sur la partie technique, ayant accès au fameux code source.

La récupération des accès

Une fois le nom et le prénom de cette personne identifiés, une attaque par phishing (faux site ressemblant au vrai, incitant l’utilisateur à renseigner ses identifiants dessus) ou via une pièce jointe infectée dans un email ont pu permettre le vol des accès de cette personne.

Si le phishing a été choisi comme méthode, il a fallu trouver un moyen d’inciter l’utilisateur à renseigner ses identifiants sur ce faux site comme par exemple un email avec l’objet “La sécurité de votre compte est compromise, merci de renseigner vos identifiants pour le sécuriser”.

Si cela ne fonctionne pas, un fichier PDF infecté, envoyé dans un email ayant comme objet “Facture en retard à régler” amènerait l’utilisateur à ouvrir le PDF, exécutant ainsi le logiciel malveillant inclus dedans.

Ces deux méthodes sont régulièrement utilisées pour dérober les informations de connexion d’une victime et se faire passer pour elle afin d’accéder à des ressources spécifiques.
Ces deux techniques permettant de récupérer les accès de l’utilisateur pour pouvoir se faire passer pour lui et accéder à des ressources internes à sa place.

Découverte du réseau interne et modification du code de la prochaine mise à jour d’Orion

Une fois les accès récupérés, la phase de découverte de l’infrastructure de Solarwinds débute.

L’objectif de cette phase de découverte est triple pour les assaillants :

  • Identifier les procédures de modification du code source d’Orion.
  • Comprendre ces procédures.
  • Trouver un moyen de les altérer pour modifier le code source, sans qu’une quelconque vérification de code ne détecte cette modification et ne mette fin à l’attaque.


Cette phase aurait également permis d’identifier la personne chargée de la validation des modifications de code afin de pouvoir la contourner.

Cette étape de découverte et de compréhension a pu prendre des semaines ou des mois, consistant à étudier discrètement le fonctionnement interne de Solarwinds.

Une fois ce travail de découverte terminé, les hackers ont pu passer à l’action et modifier le code source d’Orion pour y intégrer leur cheval de troie.

Cela s'est passé en Octobre 2019 selon les informations communiquées par Solarwinds.

Déploiement de la mise à jour infectée


Le prochain déploiement de la mise à jour d’Orion étant prévu plusieurs mois après, il a fallu se faire discret et attendre.

Ne pas faire de vague pour ne pas se faire repérer, ne pas être trop curieux pour ne pas déclencher des alarmes, que ce soit au niveau des accès dérobés mais également concernant les actions effectuées dans le réseau interne, rien ne devait être repéré.
Concrètement, les assaillants ont dû éviter :

  • Les connections inutiles
  • Les recherches d’informations annexes
  • De cibler d’autres logiciels de Solarwinds

Une période d’attente a alors commencé jusqu’en mars 2020, date de mise à jour d’Orion pour tous les clients de Solarwinds.

Découverte du réseau et la localisation des informations de

Mars 2020, la mise à jour infectée d'Orion commence à être déployée chez les clients de Solarwinds.

Chaque jour des entreprises installent cette mise à jour et exécutent le cheval de troie, donnant immédiatement accès à tout leur réseau interne aux hackers. C'est alors le moment de découvrir ces réseaux, de fouiller dans les bases de données, de récupérer ce qui les intéresse tout en restant le plus discret possible.

Quelques exemples:

  • Identifier l'identité de la victime en récupérant les noms des serveurs infectés
  • Découvrir le type de réseau infecté (bureautique, production, exploitation,…)
  • Identifier les pare-feux du réseau pour les contourner


Cette période, que nous pouvons qualifier de finalité de l'attaque, s'est étendue de mars 2020 à décembre 2020. Les assaillants ont ainsi eu largement le temps de récupérer tout ce qu'ils souhaitaient sur les infrastructures et leurs victimes.


La découverte de l'attaque par FireEye

Le 8 décembre 2020, la société spécialisée en cybersécurité FireEye détecte une activité anormale sur son réseau et indique que des données et des logiciels lui ont été dérobés.

L’une des hypothèses est par exemple qu’un pare-feu n’a pas été identifié par les assaillants et que celui-ci a détecté une activité anormale du logiciel Orion.

De plus, nous pouvons supposer que les systèmes de détection de FireEye sont plus poussés que la normale.

Après investigations, le logiciel Orion est identifié comme ayant un comportement anormal et la société Solarwinds est prévenue que son logiciel contient un cheval de troie.

Solarwinds fait des vérifications et détecte que l’attaque, dont elle est victime depuis maintenant plus d’un an, serait passée par des comptes Office 365 compromis.

S'ensuit la longue liste d'entreprises et de départements d'État des États-Unis qui indiquent avoir détecté cette infection.

Solarwinds mettra quelques jours à publier une nouvelle mise à jour d’Orion saine et nettoyée de son cheval de troie.

A ce jour nous ne savons toujours pas qui est le groupe de hacker derrière cette attaque : les services de renseignement américains indiquent que celle-ci a certainement été menée par un groupe soutenu par le gouvernement russe.

Il est certain que la sophistication de l'attaque et le statut des victimes laissent penser que les motivations sont de l'ordre d'espionnage d'État mais rien ne l'atteste de manière certaine à ce jour. Il est important de noter que même si cette attaque à été rendue possible par la mise à jour d’un logiciel, il est primordial de maintenir ses logiciels et son poste de travail à jour

La cyber missive

Tout savoir sur l'actualité cyber en France

Directement dans votre  boîte mail
Chaque 1er jeudi du mois