SolarWinds

Une définition du Jargon Français.
Aller à : Navigation, rechercher

Dr enus.png nom propre - marque déposée.  [entreprise]  [sécurité]. Nom d'une entreprise américaine vendant des logiciels d'assistance à l'administration de pans techniques du système d'information, en particulier des réseaux et systèmes.

Utilisé par des informaticiens salariés de l'entité (entreprise, administration...) comme par des infogérants, travaillant sur le site comme à distance.

Fondée en 1999. Son nom signifie littéralement « vents solaires ». Pilotée par des fonds d'investissement qui se soucient surtout de rentabilité, l'entreprise emploie aussi peu de développeurs que possible, délocalisés (offshore) dans des pays pauvres...

Le 13 décembre 2020 des médias diffusèrent que des paquetages de mise-à-jour diffusés par cette entreprise contiennent (depuis au mieux le printemps 2020) une attaque créant discrètement une porte dérobée (nommée « SUNBURST »).

Les possibilités ainsi offertes à l'attaquant relèvent de l'espionnage.

Il menace environ 18000 organisations dans le monde, dont une forte proportion des plus grands comptes publics et privés, tels que fondeurs, gros opérateurs de télécoms, Cisco Systems, cabinets de conseil, prestataires IT, banques, instituts de formation, ministères, mairies.... Parmi les atteints aux USA figurent l'armée, le Pentagone et la Maison Blanche.

Ce désastre a été baptisé Solorigate, nom dérivé de celui de la maison d'édition et rappelant Watergate (scandale ayant éclaté en 1972 et relatif à un espionnage commandité par le président américain).

L'attaquant aurait profité d'une faille lui offrant moyen d'accéder indûment au système d'intégration continue employé, ce qui lui laissa possibilité de modifier le code source compilé lors de la création des exécutables, donc d'y placer son malware avec que le tout soit placé dans des paquetages puis scellé. De cette façon les versions du logiciel modifiées par l'attaquant semblaient publiés par SolarWinds.

Ces paquetages étaient publiés sur le site officiel de SolarWinds (incidemment cette entreprise avait, fin 2019, par erreur publié sur Github les credentials du compte FTP permettant de le faire, et le mot-de-passe était solarwinds123 depuis au moins mi-2018). Ils sont ainsi devenus des chevaux de Troie, difficiles à détecter car l'entreprise préconisait à ses clients de ne pas soumettre ses produits aux logiciels détecteurs habituels (tels que les antivirus).

Les mises-à-jour infectées sont destinées au logiciel « SolarWinds Orion » fonctionnant sous Windows, et le malware (placé dans une DLL nommée SolarWinds.Orion.Core.BusinessLayer.dll) s'active après un délai d'au plus environ 2 semaines. Il dissimule son activité (en la rendant similaire à ce que fait habituellement le logiciel infecté) et tente de détecter celle de logiciels capables de le dépister.

Ce malware communique discrètement des descriptions du réseau et des systèmes infectés les encodant dans des requêtes de résolution de nom relatives au domaine avsvmcloud.com (dont le pirate dispose). En résumé une requête portant sur le nom toto.quelquepart.avsvmcloud.com parvient à une machine du pirate, où un logiciel expédie en réponse le numéro IP grâce auquel son malware contacte (via HTTPS) l'un de ses serveurs (quasiment tous ces derniers sont des machines AWS) afin de prendre des instructions.

L'analyse technique révéla une autre porte dérobée, semble-t-il fruit des efforts d'un autre hostile. Cette DLL peut recevoir (via HTTP) un script en C# qu'elle compile et exécute. Il n'était pas scellé mais certains l'installèrent car SolarWinds fournissait officiellement moyen d'installer même des paquetages non scellés.

Avec le recul tout cela ressemble à une vaste opération destine à espionner voire à prendre le contrôle d'éléments d'infrastructure (énergie, transport...).

L'ancien président de l'entreprise imputa tout cela à « un stagiaire ».

http://solarwinds.com