{"id":208392,"date":"2021-01-07T19:44:10","date_gmt":"2021-01-07T18:44:10","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=208392"},"modified":"2024-04-08T14:01:09","modified_gmt":"2024-04-08T13:01:09","slug":"alerte-securite-sunburst-attaque-avancee-et-mesures-de-protection-stormshield","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/alerte-securite-sunburst-attaque-avancee-et-mesures-de-protection-stormshield\/","title":{"rendered":"Malware Sunburst : \u00e9tat des lieux d\u2019une attaque avanc\u00e9e et mesures de protection avec Stormshield"},"content":{"rendered":"

Le 8 d\u00e9cembre 2020, la soci\u00e9t\u00e9 am\u00e9ricaine FireEye publiait un communiqu\u00e9 de presse dans lequel elle d\u00e9clarait \u00eatre victime d\u2019un malware, baptis\u00e9 \u00ab\u00a0Sunburst\u00a0\u00bb pour l\u2019occasion, et du vol de plusieurs outils de Red Team. Dans ce communiqu\u00e9, l\u2019entreprise de cybers\u00e9curit\u00e9 \u00e9voque la cyberattaque avanc\u00e9e d\u2019un acteur \u00ab\u00a0dont la discipline, la s\u00e9curit\u00e9 op\u00e9rationnelle et les techniques portent \u00e0 croire qu\u2019il s\u2019agirait d\u2019une attaque parrain\u00e9e par un \u00c9tat\u00a0\u00bb. D\u00e9j\u00e0 un \u00e9v\u00e8nement en soi \u2013 qui nous rappelle encore une fois qu\u2019en cybers\u00e9curit\u00e9 personne n\u2019est infaillible \u2013, mais surtout, l\u2019arbre qui cache la for\u00eat.<\/strong><\/p>\n

 <\/p>\n

Les \u00e9l\u00e9ments de contexte de l\u2019attaque Sunburst<\/h2>\n

Quelques jours plus tard, le 13\u00a0d\u00e9cembre, nous apprenions l\u2019\u00e9tendue des d\u00e9g\u00e2ts\u00a0: avec FireEye, plus de 18\u00a0000 entreprises et institutions dans le monde seraient concern\u00e9es. Et en premier lieu une quarantaine d\u2019administrations du gouvernement am\u00e9ricain, dont le d\u00e9partement de la s\u00e9curit\u00e9 int\u00e9rieure et le National Nuclear Security Administration<\/em> (NNSA). Leur point commun\u00a0? La pr\u00e9sence dans leur syst\u00e8me d\u2019information du logiciel Orion<\/em> de l\u2019entreprise SolarWinds, qui d\u00e9veloppe des logiciels professionnels pour la gestion centralis\u00e9e des r\u00e9seaux, des syst\u00e8mes et de toute l\u2019infrastructure informatique. D\u2019apr\u00e8s les premiers \u00e9l\u00e9ments de l\u2019investigation, le groupe APT29 (Cozy Bear) semble \u00eatre \u00e0 l\u2019origine de cette attaque.<\/p>\n

 <\/p>\n

Le vecteur initial de l\u2019attaque Sunburst<\/h2>\n

Le vecteur initial de l\u2019attaque serait une compromission en profondeur de ce logiciel de supervision des syst\u00e8mes d\u2019information. Il semble que les versions d\u2019Orion concern\u00e9es remontent jusqu\u2019\u00e0 octobre 2019.<\/p>\n

Question technique, le malware aurait \u00e9t\u00e9 introduit dans la cha\u00eene de d\u00e9veloppement du logiciel, et plus pr\u00e9cis\u00e9ment dans celle de la dll solarwinds.orion.core.businesslayer.dll<\/em>. Une dll qui a ensuite \u00e9t\u00e9 sign\u00e9e par le certificat officiel SolarWinds, garantissant sa confiance. Une fois install\u00e9 dans le SI cible, le binaire s\u2019inscrit sur le site de \u00ab\u00a0Beacon<\/em>\u00a0\u00bb du malware en appelant le domaine avsvmcloud.com et en imitant un protocole l\u00e9gitime de SolarWinds. Les cyber-criminels initient ensuite une communication \u00ab\u00a0command and control<\/em>\u00a0\u00bb sur d\u2019autres domaines\/IP qui auront \u00e9t\u00e9 \u00e9chang\u00e9s via la connexion initiale.<\/p>\n

\u00c0 noter qu\u2019une simple connexion \u00e0 l\u2019URL avsvmcloud.com n\u2019indique donc pas forc\u00e9ment une compromission active du SI. Il convient de v\u00e9rifier qu\u2019elle est suivie par des communications vers d\u2019autres domaines\/IP.<\/p>\n

 <\/p>\n

Les d\u00e9tails techniques de l\u2019attaque Sunburst<\/h2>\n

Obfuscation<\/h3>\n

Ce malware est technologiquement tr\u00e8s avanc\u00e9 et utilise diff\u00e9rentes techniques de dissimulation telles que\u00a0:<\/p>\n