MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
L’attaque a touché les serveurs d’au moins 18 000 clients de la chaîne logistique de SolarWinds, parmi lesquels de nombreuses institutions gouvernementales critiques.
Trop d’entreprises investissent encore de manière excessive dans des solutions de défense traditionnelles basées sur le périmètre, telles que le sandboxing, les systèmes de détection des intrusions (IDS) et les pare-feu de nouvelle génération, malgré les preuves croissantes de leur inefficacité. La construction de murs de sécurité toujours plus hauts ne suffit plus. En outre, les SOC continuent à analyser les journaux à l’aide de règles très simplistes afin de repérer les activités utilisateur anormales. Compte tenu du bruit généré par ces règles, cette opération ne facilite pas la détection des acteurs malveillants. Alors comment peut-on remédier au problème et empêcher d’autres entreprises de venir grossir la liste des victimes d’attaques contre la chaîne logistique ?
On a tendance à penser que les violations graves de données résultent de la découverte et de l’exploitation par un cybercriminel d’une faille de sécurité telle qu’une vulnérabilité ou un bug logiciel. En réalité, les violations commencent le plus souvent par une opération d’ingénierie sociale très efficace, et la plupart des attaques contre la chaîne logistique ne font pas exception à la règle.
La première étape d’une attaque contre la chaîne logistique consiste généralement à envoyer des e-mails d’hameçonnage aux employés de l’éditeur du logiciel cible pour recueillir leurs informations d’identification. Des techniques d’hameçonnage classiques telles que l’usurpation d’identité de membres du personnel informatique ou l’envoi d’e-mails automatisés sont en l’occurrence très efficaces.
Après avoir compromis un compte, l’attaquant peut commencer à se déplacer latéralement et à obtenir des privilèges d’accès plus élevés en vue d’atteindre sa cible : le code source de l’application. Il dissimule ensuite du code malveillant dans le produit, puis veille à ce que l’entreprise distribue cette version à ses clients sans se douter qu’elle renferme un cheval de Troie.
Pour affecter un maximum d’utilisateurs du produit, l’attaquant doit faire en sorte que sa manipulation passe inaperçue le plus longtemps possible. À cette fin, le code malveillant sera probablement intégré au produit juste avant sa distribution, ce qui réduira ses chances d’être détecté par des tests de sécurité ou d’assurance qualité. Dans le cas de SolarWinds, le code a sans doute été ajouté à une mise à jour de son logiciel Orion peu avant sa diffusion.
L’accès au code source n’est toutefois pas suffisant : le pirate doit également obtenir l’autorisation de le publier. À moins d’avoir beaucoup de chance et de trouver un compte à privilèges mal sécurisé, l’attaquant passera certainement plusieurs semaines à effectuer des déplacements latéraux très lents et discrets pour atteindre son but sans se faire repérer. Il utilisera vraisemblablement une approche très prudente, fondée sur une stratégie « living off the land » qui consiste à exploiter le plus possible les outils déjà présents sur les systèmes piratés afin de passer inaperçu. Dans l’affaire SolarWinds, les pirates ont compromis l’environnement Microsoft Office 365, notamment l’accès à la messagerie électronique, à SharePoint et à de nombreux autres outils.
Avant même de débuter l’attaque, le cybercriminel devra passer du temps à se renseigner sur l’entreprise et à bien cerner ses activités. Une fois le code source atteint, il devra procéder à sa rétro-ingénierie pour y injecter le code malveillant sans affecter les performances de l’application ni laisser de traces évidentes d’une activité anormale.
Il convient de noter que la réalisation de ce type d’attaques demande non seulement énormément de temps et de compétences, mais est en outre très peu rentable pour le cybercriminel. C’est pourquoi les attaques contre la chaîne logistique émanent presque exclusivement d’acteurs à la solde d’États. Touchant un salaire régulier de leur État-nation, les auteurs de menaces peuvent confortablement passer plusieurs mois à planifier et à exécuter une attaque contre la chaîne logistique, même sans retour direct sur investissement. L’attaque qui a frappé SolarWinds, par exemple, semble avoir nécessité au moins six mois de travail.
Correctement exécutée, une attaque contre la chaîne logistique est une technique extrêmement insidieuse qui reste très difficile à détecter. C’est grâce à FireEye, qui a suspecté un problème et a pris le temps d’investiguer, que le piratage de SolarWinds a été découvert. De nombreux autres éditeurs de logiciels font probablement l’objet d’attaques similaires, mais ne s’en sont pas encore rendu compte.
Une attaque contre la chaîne logistique a ceci de sournois qu’elle détourne la distribution de logiciels légitimes pour toucher un grand nombre de victimes. Sunburst, le malware qui a infecté le logiciel Orion de SolarWinds, aurait ainsi compromis les serveurs d’au moins 18 000 clients.
Une fois le cheval de Troie installé par les clients, le cybercriminel peut exécuter le code malveillant pour passer à l’étape suivante de l’attaque, à savoir la phase de reconnaissance dans le cas de SolarWinds. On suppose que le but principal des auteurs était d’obtenir un maximum d’informations sur les opérations et les outils utilisés par les entreprises clientes, majoritairement composées d’agences gouvernementales américaines. Si l’objectif se limitait ici à une observation discrète, des attaques de ce type contre la chaîne logistique peuvent également servir à lancer simultanément des cyberattaques invalidantes à grande échelle contre plusieurs cibles importantes.
Le temps de présence extraordinairement long des cybercriminels constitue une autre caractéristique clé de cette attaque. Il est établi que les mises à jour d’Orion ont été infectées par Sunburst entre mars et juin 2020, la violation n’ayant été rendue publique qu’en décembre 2020. Autrement dit, les attaquants ont pu évoluer librement dans la chaîne logistique de SolarWinds durant plusieurs mois et ont eu le champ libre sur les systèmes de la société pendant encore plus longtemps.
Les enquêtes ont permis de mettre au jour certaines des tactiques employées par les attaquants pour masquer leur présence sur une période aussi longue. Les centres de commande et de contrôle (C2) de l’attaque étaient hébergés sur des serveurs Cloud commerciaux d’Amazon, de Microsoft et de GoDaddy, entre autres, ce qui a grandement facilité la dissimulation des communications parmi le trafic ordinaire. La plupart des malwares utilisés dans les attaques étaient par ailleurs récents et ne correspondaient donc à aucune signature de menace connue.
La principale leçon à tirer de l’attaque contre SolarWinds est que, pour faire face aux activités malveillantes, les entreprises ne peuvent plus compter sur des méthodes classiques de détection des menaces reposant sur les signatures. Cette attaque doit en partie son succès au fait que les pirates n’ont laissé pratiquement aucun indicateur de compromission traditionnel. Les entreprises infectées par le cheval de Troie implanté dans le logiciel Orion n’ont pas du tout remarqué la présence d’intrus sur leurs réseaux.
L’utilisation d’hôtes Cloud légitimes pour le trafic C2 a également permis aux communications d’échapper à la vigilance des outils de détection standard. Il s’agit d’une approche de plus en plus courante. Des ressources telles que Dropbox, Twitter et Slack ont elles aussi été transformées en canaux C2.
De la même manière, les attaquants qui se servent des fonctionnalités légitimes de Microsoft Office 365, comme la messagerie électronique, SharePoint, Power Automate et eDiscovery, dans le cadre d’une stratégie « living off the land » peuvent rester cachés pendant très longtemps.
Pour détecter ce type d’attaques minutieuses et sophistiquées, il est nécessaire de pousser plus loin les investigations et de rechercher les signes subtils d’activité suspecte s’apparentant au déplacement latéral d’un compte compromis. Les outils de détection et de réponse aux menaces réseau (NDR) optimisés par des analyses IA constituent l’une des armes les plus efficaces pour lutter contre ce genre de menaces. Ces solutions surveillent en continu l’ensemble de l’environnement, qu’il s’agisse de réseaux informatiques traditionnels ou Cloud, afin d’identifier rapidement tout signe de compromission.
La puissance de l’analyse IA permet de traiter d’immenses quantités de données en très peu de temps et d’accomplir en quelques heures ce qui, autrement, demanderait des jours de travail intensif à des analystes de sécurité humains.
Cela signifie que, même si des cybercriminels pénètrent dans le réseau à l’aide d’une technique aussi sournoise et subtile qu’une attaque contre la chaîne logistique, il y a de grandes chances que l’équipe de sécurité détecte et stoppe l’attaque avant qu’elle ne prenne de l’ampleur. L’éditeur de logiciels ciblé pour propager l’attaque contre la chaîne logistique aura également de bien meilleures chances de détecter les intrus qui infiltrent le réseau dans le but d’exploiter son code source. La capacité à repérer et à bloquer un attaquant sophistiqué et prudent avant qu’il n’injecte un cheval de Troie dans le produit empêchera une violation de se transformer en incident majeur susceptible d’affecter des milliers de clients de la chaîne logistique.
