Fabrication particulièrement à risque d’infractions liées au Solorigate

Environ un cinquième des victimes de la cyberattaque SolarWinds Solorigate/Sunburst de décembre 2020 – quelque 3 600 des 18 000 organisations identifiées à ce jour – travaillent dans la fabrication verticale, selon les chercheurs de Kaspersky ICS Cert, qui ont été parmi ceux qui ont essayé de reconstituer ce qui s’est réellement passé au cours de l’année écoulée, et à quel point la violation est vraiment étendue.

L’objectif apparent de la cyberattaque liée à la Russie – perpétrée par un groupe d’espionnage avancé de menaces persistantes (APT) qui est maintenant connu sous le nom de UNC2452 – était principalement des organisations gouvernementales américaines, mais les dommages collatéraux s’étendent loin et, selon Kaspersky, il y a eu peu d’informations jusqu’à présent sur qui d’autre utilisait les produits SolarWinds détournés dans leurs organisations.

« Le logiciel SolarWinds est fortement intégré dans de nombreux systèmes à travers le monde dans différentes industries et, par conséquent, l’ampleur de l’attaque de Sunburst est sans précédent – beaucoup d’organisations qui ont été touchées n’ont peut-être pas été d’intérêt pour les attaquants au départ », a déclaré Maria Garnaeva, chercheuse principale en sécurité chez Kaspersky.

« Bien que nous n’avons pas de preuve d’une attaque en deuxième étape parmi ces victimes, nous ne devrions pas exclure la possibilité qu’elle puisse se faire à l’avenir. Par conséquent, il est crucial que les organisations qui peuvent être victimes de l’attaque excluent l’infection et s’assurent qu’elles ont mis en place les procédures d’intervention en cas d’incident appropriées.

Pour résoudre cette question, les chercheurs de Kaspersky ont scruté l’information interne et accessible au public.

Ils ont d’abord analysé tous les noms de domaine internes décodés disponibles obtenus à partir de noms DNS générés par l’algorithme de génération de noms de domaine SunBurst, et à partir de cela ont rassemblé une liste d’environ 2 000 domaines lisibles et attribuables.

Extrapolant à partir de ces données, ils ont calculé que le pourcentage global d’organisations industrielles est d’environ 32,4 %, le secteur manufacturier ayant le plus touché (18,11 % des victimes), suivi des services publics (3,24 %) construction (3,03 %). Kaspersky a également constaté un grand nombre d’entreprises de transport et de logistique (2,97 % des victimes) et de sociétés pétrolières et gazières (1,35 %).

Ces entreprises sont basées dans le monde entier, y compris au Bénin, au Canada, au Chili, à Djibouti, en Indonésie, en Iran, en Malaisie, au Mexique, aux Pays-Bas, aux Philippines, au Portugal, en Russie, en Arabie saoudite, à Taiwan, en Ouganda et aux États-Unis.

Les organisations concernées devraient d’abord vérifier si elles exploitaient l’une des versions touchées de la plate-forme SolarWinds Orion – les versions affectées connues incluent les versions logicielles 2019.4 HF 5 sans hotfix, et 2020.2 HF 1. Ils devraient ensuite vérifier s’il y a des indicateurs connus de compromis par rapport à l’avis de la CISA.

Si ces deux étapes produisent des résultats « positifs », lancez immédiatement une enquête et activez votre procédure d’intervention en cas d’incident. Isolez tous les actifs que vous savez compromis (tout en gardant vos systèmes utilisables) et empêchez les CCI qui pourraient être nécessaires à la suppression de votre enquête.

Ensuite, vérifiez tous les journaux réseau pour toute activité suspecte, ainsi que les journaux système et les journaux pour toute authentification de compte illégitime.

En outre, toute activité de processus suspect doit être localisée et les vidages de mémoire et les fichiers associés étudiés, et les données historiques de la ligne de commande vérifiées pour toute activité suspecte.