Microsoft a récemment expliqué plus en détail comment la cyberattaque SolarWinds s'est déroulée, détaillant la deuxième phase de l'attaque et les types de logiciels malveillants utilisés.
Pour une attaque avec autant de cibles de premier plan que SolarWinds, il reste encore de nombreuses questions auxquelles il faut répondre. Le rapport de Microsoft révèle une mine de nouvelles informations sur l'attaque, couvrant la période après que les attaquants ont lancé la porte dérobée Sunburst.
Le blog Microsoft Security donne un aperçu du "chaînon manquant", la période entre l'installation de la porte dérobée Sunburst (appelée Solorigate par Microsoft) chez SolarWinds et l'implantation de divers types de logiciels malveillants dans les réseaux de la victime.
Comme nous le savons déjà, SolarWinds est l'une des "attaques d'intrusion les plus sophistiquées et les plus prolongées de la décennie", et que les attaquants "sont des opérateurs de campagne qualifiés qui ont soigneusement planifié et exécuté l'attaque, restant insaisissables tout en maintenant la persistance."
Le blog Microsoft Security confirme que la porte dérobée Sunburst originale a été compilée en février 2020 et distribuée en mars. Ensuite, les attaquants ont supprimé la porte dérobée Sunburst de l'environnement de construction de SolarWinds en juin 2020. Vous pouvez suivre la chronologie complète dans l'image suivante.
Microsoft pense que les attaquants ont ensuite passé du temps à préparer et à distribuer des implants et une infrastructure de commande et de contrôle Cobalt Strike personnalisés et uniques, et que "la véritable activité pratique sur le clavier a probablement commencé dès le mois de mai".
La suppression de la fonction de porte dérobée de SolarWinds signifie que les attaquants sont passés d'un accès par porte dérobée via le fournisseur à un accès direct aux réseaux de la victime. La suppression de la porte dérobée de l'environnement de construction était une étape vers la dissimulation de toute activité malveillante.
À partir de là, l'attaquant s'est donné beaucoup de mal pour éviter la détection et éloigner chaque partie de l'attaque. Une partie du raisonnement derrière cela était que même si l'implant de malware Cobalt Strike était découvert et supprimé, la porte dérobée de SolarWinds était toujours accessible.
Le processus anti-détection a impliqué :
Le blog Microsoft Security explore la gamme de techniques de manière beaucoup plus détaillée, avec une section intéressante examinant certaines des méthodes anti-détection vraiment nouvelles utilisées par les attaquants.
Il ne fait aucun doute dans l'esprit des équipes d'intervention et de sécurité de Microsoft que SolarWinds est l'une des attaques les plus avancées de tous les temps.
La combinaison d'une chaîne d'attaque complexe et d'une opération prolongée signifie que les solutions défensives doivent avoir une visibilité inter-domaines complète sur l'activité des attaquants et fournir des mois de données historiques avec de puissants outils de chasse pour enquêter aussi loin que nécessaire.
Il pourrait aussi y avoir d'autres victimes à venir. Nous avons récemment signalé que les spécialistes antimalwares Malwarebytes étaient également visés par la cyberattaque, bien que les attaquants aient utilisé une méthode d'entrée différente pour accéder à son réseau.
Compte tenu de l'ampleur entre la prise de conscience initiale qu'une telle cyberattaque avait eu lieu et l'éventail des cibles et des victimes, il pourrait encore y avoir d'autres grandes entreprises technologiques à intervenir.
Microsoft a publié une série de correctifs visant à réduire le risque de SolarWinds et des types de logiciels malveillants associés dans son correctif de janvier 2021 mardi. Les correctifs, qui ont déjà été mis en ligne, atténuent une vulnérabilité zero-day qui, selon Microsoft, est liée à la cyberattaque SolarWinds et qui était activement exploitée dans la nature.