" /> " />

I Learned Blog

🧭 Explorer 🔍 Chercher 🏠 Site principal

SolarWinds, l'arbre qui cache la forĂȘt đŸ‘Ÿ

Avant propos

Cet article a pour but de retracer les Ă©vĂšnements Ă  propos de la rĂ©cente attaque dont SolarWinds a Ă©tĂ© victime, ces actualitĂ©s Ă©tant relativement rĂ©centes Ă  l'heure oĂč j'Ă©cris cet article (07/02/2021) des mises Ă  jour seront sĂ»rement apportĂ©es Ă  ce dernier.

Signal d'alarme

Le 8 décembre 2020, Kevin Mandia, PDG de la société FireEye poste un communiqué nommé FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community dans lequel il informe que l'entreprise a été victime d'une cyberattaque de la part d'un "acteur hautement sophistiqué" et que ce dernier avait accédé à leur réseau interne et volé un grand nombre d'outils de Red Team de la société. Ce communiqué fait aussi part du fait que

sa discipline, sa sécurité opérationnelle et ses techniques nous conduisent à penser que [l'acteur malveillant derriÚre cette attaque] était soutenu par un état

Matt Gorham le directeur adjoint de la division cyber du FBI indique dans la foulée

Le FBI enquĂȘte sur l'incident et les premiĂšres constatations montrent un acteur avec un haut niveau de sophistication conforme Ă  un État-nation

Ce qui semble donc confirmer les dires de FireEye.

Le 08 décembre 2020 à 20h11, dans un article le New York Times suppute que

Ce piratage soulÚve la possibilité que les agences de renseignement russes aient vu un avantage à monter l'attaque alors que l'attention américaine - y compris celle de FireEye - était concentrée sur la sécurisation du systÚme des élections présidentielles.

Sans pour autant apporter de preuve tangible.

Le 13 dĂ©cembre 2020, coup de tonnerre, FireEye indique dans ce communiquĂ© que l'attaque qu'ils ont subi a Ă©tĂ© propagĂ©e par le systĂšme de mise Ă  jour d'Orion, un logiciel de gestion de rĂ©seau Ă©ditĂ© par SolarWinds, un cheval de Troie nommĂ© Sunburst avait Ă©tĂ© insĂ©rĂ© dans les version 2019.4 HF 5, 2020.2 et 2020.2 HF 1 d'Orion. Microsoft, les dĂ©partements amĂ©ricains du Commerce, du TrĂ©sor, de l'Énergie et plus encore ont dĂ©clarĂ© avoir Ă©tĂ© victimes de cette cyberattaque.

Un peu de reverse engineering

Ce travail d'analyse est en grande partie basé sur les travaux de Colin Hardy.

Ce malware a Ă©tĂ© conçu pour ĂȘtre le plus discret possible, lors de la premiĂšre exĂ©cution, le code malveillant commence par attendre 12 Ă  14 jours avant de s'exĂ©cuter. Screenshot de la fonction

Puis, il vérifie si le hostname de la machine contient "solarwinds" ou "test", ou s'il correspond à une liste de noms d'hÎte qui contient, par exemple, swdev.dmz, swdev.local, on peut donc imaginer que l'attaquant a eu accÚs au réseau local de SolarWinds et a pu collecter ces noms d'hÎte... Tout cela dans le but d'éviter que le malware ne se déclenche sur un émulateur d'un AV et qu'il soit détecté.

DeuxiĂšme screenshot

Le malware va ensuite vĂ©rifier si, dans la liste des processus actifs sur la machine, un ou plusieurs correspond Ă  une liste qui contient les noms de processus d'antivirus (f-secure gatekeeper, carbonblack), de Command and Control (csagent, csfalconcontainer) - probablement afin de ne pas infecter une machine qui le serait dĂ©jĂ  - de logiciels de virtualisation (vboxservice) et mĂȘme d'analyse rĂ©seau (wireshark, tcpdump). Tout cela dans la but de rester le plus discret possible.

Puis, un userID est créé, il est généré à partir du hostname de la machine, du MachineGuid et de l'adresse MAC

Group-3.webp

Le code malveillant fait ensuite appel au domaine avsvmcloud.com, il génÚre une URL avec la fonction suivante

Group-5.webp

Cette URL est composĂ©e du domaine eu-west-1.appsync-api.avsvmcloud.com (la eu-west-1 peut aussi ĂȘtre us-west-2, us-east-1 ou us-east-2, le choix est fait alĂ©atoirement) et d'un sous domaine qui est gĂ©nĂ©rĂ© par la fonction DecryptShort Ă  partir du UserID gĂ©nĂ©rĂ© plus tĂŽt et du hostname de la machine. C'est Ă  partir de ce sous-domaine que la machine communique avec le C2.

Je n'irais pas plus loin dans l'analyse de ce malware, la partie communication avec le C2 étant relativement complexe et peu intéressante selon moi.

Conclusion

Le 10 juin 2021, le spĂ©cialiste en cybersĂ©curitĂ© Kaspersky publie un article dans lequel il indique que la backdoor de Sunburst a beaucoup de similitude avec une autre nommĂ©e Kazuar, une backdoor qui a Ă©tĂ© attribuĂ©e Ă  la Russie. Cette attaque pourrait donc etre appuyĂ©e par le FSB. Le 29 janvier 2021, Brandon Wales, dirigeant du CISA a rĂ©vĂ©lĂ© dans le Wall Street Journal que 30 % des victimes de l’attaque ne seraient pas clientes de SolarWinds, cette attaque pourrait donc etre seulement la face visible d'une grande opĂ©ration de cyberespionnage.

Merci beaucoup d'avoir lu cette article, si vous avez des questions / remarques, n'hésitez pas à m'en faire part ici ou par mail à contact@eban.bzh