Le 13 août 2020, quelqu’un a mis en ligne un fichier potentiellement malveillant sur VirusTotal, un service qui analyse les fichiers soumis par rapport à plus de cinq douzaines de produits antivirus et de sécurité. Le mois dernier, Microsoft et FireEye a identifié ce fichier comme une quatrième porte dérobée de logiciels malveillants récemment découverte, utilisée dans le piratage tentaculaire de la chaîne d’approvisionnement SolarWinds. Une analyse du fichier malveillant et d’autres soumissions par le même utilisateur de VirusTotal suggère que le compte qui a initialement signalé la porte dérobée comme suspecte appartient au personnel informatique du Administration nationale des télécommunications et de l’information (NTIA), une division du Département américain du commerce qui s’occupe de la politique des télécommunications et de l’Internet.
Microsoft et FireEye ont tous deux publié des articles de blog le 4 mars concernant une nouvelle porte dérobée trouvée sur des cibles de grande valeur qui ont été compromises par les attaquants SolarWinds. FireEye fait référence à la porte dérobée comme « Navette solaire« , alors que Microsoft l’appelle »GoldMax.” FireEye dit la porte dérobée de Sunshuttle a été nommée « Lexique.exe » et avait les signatures de fichier uniques ou » hachages » de « 9466c865f7498a35e4e1a8f48ef1dffd” (MD5) et b9a2c986b6ad1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8 (SHA-1).
« En août 2020, une entité basée aux États-Unis a téléchargé une nouvelle porte dérobée que nous avons nommée SUNSHUTTLE dans un référentiel public de logiciels malveillants », a écrit FireEye.
La porte dérobée « Sunshuttle » ou « GoldMax », respectivement identifiée par FireEye et Microsoft. Image : VirusTotal.com.
Une recherche dans le référentiel de logiciels malveillants de VirusTotal spectacles que le 13 août 2020, quelqu’un a téléchargé un fichier avec le même nom et les mêmes hachages de fichier. Il n’est souvent pas difficile de parcourir VirusTotal et de trouver des fichiers soumis par des utilisateurs spécifiques au fil du temps, et plusieurs de ceux soumis par le même utilisateur sur près de deux ans incluent des messages et des fichiers envoyés à des adresses e-mail pour des personnes travaillant actuellement dans le département des technologies de l’information de la NTIA.
Un e-mail apparemment interne qui a été téléchargé sur VirusTotal en février 2020 par le même compte qui a téléchargé le logiciel malveillant de porte dérobée Sunshuttle sur VirusTotal en août 2020.
La NTIA n’a pas répondu aux demandes de commentaires. Mais en décembre 2020, Le journal de Wall Street signalé la NTIA faisait partie des multiples agences fédérales dont les e-mails et les fichiers ont été pillés par les attaquants de SolarWinds. « Les pirates ont pénétré dans environ trois douzaines de comptes de messagerie depuis juin à la NTIA, y compris des comptes appartenant à la haute direction de l’agence, selon un responsable américain familier avec le sujet », a écrit The Journal.
On ne sait pas ce que le personnel informatique de la NTIA a fait, le cas échéant, en réponse à l’analyse du fichier de la porte dérobée en août 2020. Mais le monde ne découvrira la débâcle de SolarWinds qu’au début de décembre 2020, lorsque FireEye a révélé l’étendue de sa propre compromission par le logiciel malveillant SolarWinds et détails publiés sur les outils et les techniques utilisé par les auteurs.
L’attaque de SolarWinds impliquait l’insertion subreptice de code malveillant dans les mises à jour envoyées par SolarWinds à quelque 18 000 utilisateurs de son Orion logiciel de gestion de réseau. À partir de mars 2020, les attaquants ont ensuite utilisé l’accès offert par le logiciel SolarWinds compromis pour pousser des portes dérobées et des outils supplémentaires vers des cibles lorsqu’ils souhaitaient un accès plus approfondi aux communications par e-mail et réseau.
Les agences de renseignement américaines ont attribué le piratage de SolarWinds à une branche du renseignement d’État russe connue sous le nom de RVSqui a également été impliqué dans le piratage du Comité national démocrate il y a six ans. Jeudi, la Maison Blanche a publié des sanctions attendues depuis longtemps contre la Russie en réponse à l’attaque de SolarWinds et à d’autres cyberactivités malveillantes, en imposant des sanctions économiques à 32 entités et individus pour leurs efforts de désinformation et pour avoir perpétré l’ingérence du gouvernement russe dans l’élection présidentielle de 2020.
Le Département du Trésor américain (qui a également été touché par un logiciel malveillant de deuxième étape qui a permis aux attaquants de SolarWinds de lire les communications par e-mail du Trésor) a a publié une liste complète des personnes cibléesdont six sociétés russes pour leur soutien aux cyberactivités des services de renseignement russes.
Jeudi également, le FBI, Agence de Sécurité Nationale (NSA), et la Administration de la sécurité de l’infrastructure de cybersécurité (LPCC) émis un conseil conjoint sur plusieurs vulnérabilités dans des produits logiciels largement utilisés que les mêmes unités de renseignement russes ont attaquées pour poursuivre leurs exploits dans le piratage de SolarWinds. Parmi ceux-ci se trouve CVE-2020-4006une faille de sécurité dans Accès à VMware Workspace One que VMware a corrigé en décembre 2020 après en avoir entendu parler par la NSA.
Le 18 décembre, VMWare a vu son cours de bourse baisse de 5,5 % après que BreachTrace a publié un rapport liant la faille aux rapports de la NSA sur les cyberespions russes derrière l’attaque de SolarWinds. À l’époque, VMWare affirmait n’avoir reçu « aucune notification ni indication que CVE-2020-4006 était utilisé conjointement avec la compromission de la chaîne d’approvisionnement de SolarWinds ». En conséquence, un certain nombre de lecteurs ont répondu que l’établissement de ce lien était ténu, circonstanciel et spéculatif.
Mais l’avis conjoint indique clairement que la faille VMWare a en fait été utilisée par les attaquants de SolarWinds pour poursuivre leurs exploits.
«Les activités récentes de SVR russes comprennent la compromission des mises à jour du logiciel SolarWinds Orion, le ciblage des installations de recherche COVID-19 en déployant des logiciels malveillants WellMess et l’exploitation d’une vulnérabilité VMware qui était un jour zéro à l’époque pour un abus d’authentification SAML (Security Assertion Markup Language). , » la L’avis de la NSA (PDF) lit. « Les cyber-acteurs SVR ont également utilisé des tactiques d’abus d’authentification à la suite de violations basées sur SolarWinds. »
Des responsables de l’administration Biden ont déclaré aux médias qu’une partie de la réponse des États-Unis au piratage de SolarWinds ne serait pas discutée publiquement. Mais certains experts en sécurité craignent que les responsables du renseignement russes aient encore accès aux réseaux qui exécutent le logiciel SolarWinds détourné, et que les Russes puissent utiliser cet accès pour affecter leur propre réponse réseau destructrice ou perturbatrice, Le New York Times rapports.
« Au sein des agences de renseignement américaines, il y a eu des avertissements selon lesquels l’attaque de SolarWinds – qui a permis au SVR de placer des » portes dérobées « dans les réseaux informatiques – pourrait ouvrir à la Russie une voie pour des activités malveillantes contre des agences gouvernementales et des entreprises », a observé le Times.