FireEye et ses partenaires libèrent SolarWinds kill-switch

FireEye et ses partenaires GoDaddy et Microsoft ont déployé un soi-disant kill-switch contre le malware SolarWinds Sunburst/Solarigate utilisé par un acteur soutenu par l’État pour compromettre plusieurs ministères du gouvernement américain et FireEye, atténuant une partie de l’impact potentiel de l’attaque de grande envergure.

La cyberattaque a vu le compromis du réseau de SolarWinds et l’insertion de code dans sa plate-forme de gestion de réseau Orion, qui a ensuite été distribuée à environ 18 000 organisations clientes et utilisée comme moyen pour les attaquants de compromettre leurs victimes.

Dans une déclaration initialement diffusée à KrebsonSecurity, qui a été le premier à signaler la version, FireEye a déclaré qu’il avait constaté que, selon l’adresse IP retourné lorsque le malware appelle à sa commande et le contrôle (C2) infrastructure en utilisant l’avsvvmcloud[.]domaine com, il se termine et empêche d’autres exécutions.

« Ce commutateur de mise à mort affectera les infections sunburst nouvelles et antérieures en désactivant les déploiements Sunburst qui sont encore en train de baliser vers avsvmcloud[.]com », a déclaré un porte-parole de FireEye dans le communiqué.

Selon BleepingComputer Rapports, en travaillant ensemble pour saisir ce domaine et en créant une résolution de système de noms de domaine wildcard (DNS) pour l’obliger à résoudre à une adresse IP dans sa liste de blocs – dans ce cas 20.140.0.1. – FireEye, GoDaddy et Microsoft ont veillé à ce que Sunburst cesse de fonctionner.

L’adresse IP en question est contrôlée par Microsoft, c’est probablement pourquoi les créateurs de Sunburst l’ont ajoutée à leur blocklist afin de mieux obscurcir leur activité.

Toutefois, FireEye a ajouté qu’il ne s’agissait pas nécessairement d’un remède pour les victimes de Sunburst, car dans les intrusions qu’il a vues jusqu’à présent, les attaquants ont rapidement mis en place d’autres portes dérobées et des mécanismes de persistance.

« Ce kill-switch ne supprimera pas l’acteur des réseaux de victimes où ils ont établi d’autres portes dérobées », a déclaré le porte-parole de l’entreprise. « Cependant, il sera plus difficile pour l’acteur de tirer parti des versions précédemment distribuées de Sunburst. »

Pendant ce temps, les questions continuent de monter pour SolarWinds que plus d’intelligence ruissele autour de l’attaque. Mercredi 16 décembre, des chercheurs d’Intel471 ont déclaré avoir vu des acteurs russo-russes tenter de vendre l’accès à SolarWinds il y a jusqu’à trois ans, et affirmé que le vendeur avait « prétendument tenté de travailler plus profondément dans le réseau SolarWinds et éventuellement dans le code source de ses produits ». Cela serait le décompte avec la méthode de l’attaque Sunburst.

Les chercheurs ont déclaré que d’autres acteurs ont depuis affirmé avoir accès au réseau de SolarWinds, y compris un avec des liens vers le gang REvil / Sodinokibi ransomware, bien que ce n’est pas nécessairement une indication d’un lien.

Eran Farajun, vice-président exécutif du spécialiste de la protection des données Asigra, a déclaré qu’il avait mis en garde contre le risque d’attaques contre les logiciels de surveillance et de gestion à distance (RMM) – tels que les produits SolarWinds – depuis un certain temps.

« RMM a été, et reste, un ventre mou pour les attaques et les logiciels de sauvegarde est intégré dans la plate-forme SolarWinds RMM Orion, at-il dit. « De la même manière que RMM a été compromise et utilisée comme un proxy pour traverser dans le réseau source et les machines et exfiltrer les données, un acteur de menace peut le faire à des fins lucratives avec ransomware.

« La même chose se produit avec la sauvegarde. Une fois que vous êtes à travers le RMM, il s’agit d’un saut, sauter et un saut dans l’application de sauvegarde intégrée. La meilleure stratégie défensive est de séparer ces applications importantes et de les protéger car l’une protège d’autres systèmes de production vitaux.

D’autres rapports dans les médias américains ont remis en question les actions des personnes associées à SolarWinds dans la période précédant l’incident, après que les principaux investisseurs ont été trouvés pour avoir vendu des millions de dollars d’actions de l’entreprise peu de temps avant l’attaque a été divulguée. Les actions de la société ont perdu plus d’un cinquième de leur valeur depuis.

Selon le Washington Post, les deux investisseurs liés aux transactions suspectes sont Silver Lake et Thoma Bravo, deux véhicules de private equity de premier plan avec des investissements massifs dans l’industrie de la technologie. Entre eux, ils détiennent 70% de SolarWinds et ont six sièges sur son conseil d’administration, ce qui leur donnerait accès à des informations d’initiés clés. Les deux investisseurs ont dit qu’ils n’étaient pas au courant de la cyberattaque, et SolarWinds n’a fait aucun commentaire.

Étant donné qu’il est encore inconnu précisément lorsque SolarWinds a pris connaissance de l’attaque, le moment de l’activité commerciale va presque certainement déclencher une enquête réglementaire par le Securities et la Commission d’échange.