Un nom de domaine malveillant clé utilisé pour contrôler potentiellement des milliers de systèmes informatiques compromis par la violation de plusieurs mois chez le fournisseur de logiciels de surveillance de réseau Vents solaires a été réquisitionné par des experts en sécurité et utilisé comme un « killswitch » conçu pour retourner l’opération tentaculaire de cybercriminalité contre elle-même, a appris BreachTrace.
SolarWinds, basé à Austin, au Texas, a révélé cette semaine qu’une compromission de ses serveurs de mise à jour logicielle plus tôt cette année pourrait avoir entraîné la transmission de code malveillant à près de 18 000 clients de son Orion Plate-forme. Beaucoup Agences fédérales américaines et entreprises du Fortune 500 utilisent(d) Orion pour surveiller la santé de leurs réseaux informatiques.
Le 13 décembre, la firme de réponse aux cyberincidents FireEye a publié un article détaillé sur l’infrastructure malveillante utilisée dans le compromis SolarWinds, présentant la preuve que le logiciel Orion a été compromis pour la première fois en mars 2020. FireEye a déclaré que des réseaux piratés avaient été vus en train de communiquer avec un nom de domaine malveillant – avsvmcloud[.]com – l’un des nombreux domaines que les attaquants avaient mis en place pour contrôler les systèmes affectés.
Comme indiqué pour la première fois ici mardi, il y avait des signes au cours des derniers jours que le contrôle du domaine avait été transféré à Microsoft. Interrogé sur le changement, Microsoft a renvoyé des questions à FireEye et à Allez papale bureau d’enregistrement actuel du nom de domaine du site malveillant.
Aujourd’hui, FireEye a répondu que la saisie du domaine faisait partie d’un effort de collaboration visant à empêcher les réseaux susceptibles d’avoir été affectés par la mise à jour compromise du logiciel SolarWinds de communiquer avec les attaquants. De plus, la société a déclaré que le domaine avait été reconfiguré pour agir comme un « killswitch » qui empêcherait le malware de continuer à fonctionner dans certaines circonstances.
« SUNBURST est le malware qui a été distribué via le logiciel SolarWinds », a déclaré FireEye dans un communiqué partagé avec BreachTrace. « Dans le cadre de l’analyse de SUNBURST par FireEye, nous avons identifié un killswitch qui empêcherait SUNBURST de continuer à fonctionner. »
La déclaration continue :
« Selon l’adresse IP renvoyée lorsque le logiciel malveillant résout avsvmcloud[.]com, sous certaines conditions, le logiciel malveillant se terminerait de lui-même et empêcherait toute exécution ultérieure. FireEye a collaboré avec GoDaddy et Microsoft pour désactiver les infections SUNBURST.
« Ce killswitch affectera les infections SUNBURST nouvelles et précédentes en désactivant les déploiements SUNBURST qui sont toujours en train de baliser avsvmcloud[.]com. Cependant, dans les intrusions constatées par FireEye, cet acteur a rapidement mis en place des mécanismes persistants supplémentaires pour accéder aux réseaux des victimes au-delà de la porte dérobée SUNBURST.
Ce killswitch ne supprimera pas l’acteur des réseaux victimes où il a établi d’autres portes dérobées. Cependant, il sera plus difficile pour l’acteur d’exploiter les versions précédemment distribuées de SUNBURST.
Il est probable qu’étant donné leur visibilité et leur contrôle sur le domaine malveillant, Microsoft, FireEye, GoDaddy et d’autres ont maintenant une bonne idée des entreprises qui pourraient encore être aux prises avec des infections SUNBURST.
Les révélations sur le killswitch sont survenues alors que les chercheurs en sécurité ont déclaré qu’ils fait des progrès dans le décodage des méthodes de communication obscurcies de SUNBURST. Entreprise chinoise de cybersécurité L’équipe RedDrip ont publié leurs découvertes sur Githubaffirmant que son outil de décodage avait identifié près d’une centaine de victimes présumées de la faille SolarWinds/Orion, parmi lesquelles des universités, des gouvernements et des entreprises de haute technologie.
Pendant ce temps, les retombées juridiques potentielles pour SolarWinds à la suite de cette violation continuent de s’aggraver. Le Washington Post rapporté mardi que les principaux investisseurs de SolarWinds ont vendu des millions de dollars en actions dans les jours précédant la révélation de l’intrusion. Le cours de l’action SolarWinds a chuté de plus de 20 % au cours des derniers jours. Le Post a cité d’anciens responsables de l’application de la loi au Commission américaine des valeurs mobilières et des échanges (SEC) affirmant que les ventes étaient susceptibles de déclencher une enquête sur un délit d’initié.