Microsoft révèle les détails de la seconde phase de la cyberattaque SolarWinds

Microsoft a récemment apporté des précisions sur le déroulement de la cyberattaque SolarWinds, en se concentrant sur sa seconde phase et les malwares déployés.

Pour une attaque touchant des cibles aussi stratégiques, de nombreuses questions demeurent. Le rapport de Microsoft fournit des informations inédites sur la période suivant le déploiement de la porte dérobée Sunburst.

Microsoft détaille la seconde phase de la cyberattaque SolarWinds

Le blog Microsoft Security comble le "chaînon manquant" : la phase entre l'installation de la porte dérobée Sunburst (dite Solorigate par Microsoft) chez SolarWinds et l'implantation de malwares dans les réseaux victimes.

SolarWinds figure parmi les "attaques d'intrusion les plus sophistiquées et prolongées de la décennie", menées par des opérateurs experts ayant minutieusement planifié leur opération pour rester indétectables.

Sunburst a été compilée en février 2020, distribuée en mars, puis supprimée de l'environnement de build de SolarWinds en juin 2020. Consultez la chronologie complète ci-dessous.

Microsoft estime que les attaquants ont ensuite préparé des implants Cobalt Strike personnalisés et une infrastructure C2 unique, avec une activité opérationnelle probable dès mai.

La suppression de Sunburst marque le passage d'un accès via le fournisseur à un accès direct aux réseaux victimes, renforçant la discrétion.

Les attaquants ont multiplié les efforts anti-détection :

• Déploiement d'implants Cobalt Strike uniques par machine.
• Désactivation des services de sécurité avant tout mouvement latéral.
• Effacement des logs, horodatages, et pause temporaire de la journalisation.
• Adaptation des noms de fichiers et dossiers pour camoufler les malwares.
• Création de règles pare-feu temporaires pour masquer les communications sortantes.

Le blog Microsoft analyse en profondeur ces techniques, y compris des méthodes anti-détection innovantes.

SolarWinds : l'une des cyberattaques les plus sophistiquées jamais observées

Les experts Microsoft confirment le caractère exceptionnel de SolarWinds.

La complexité de la chaîne d'attaque et sa durée exigent une visibilité inter-domaines complète, des données historiques étendues et des outils de chasse avancés.

D'autres victimes pourraient émerger, comme Malwarebytes récemment ciblé via une autre vecteur d'entrée.

Compte tenu de l'ampleur, d'autres grandes entreprises tech pourraient encore se manifester.

Microsoft a publié en janvier 2021 des correctifs réduisant les risques SolarWinds, incluant un patch pour une vulnérabilité zero-day exploitée activement.