Il y a près d'une semaine, les autorités américaines en charge de la cybersécurité ont communiqué au sujet d'une cyberattaque ayant touché la chaîne d'approvisionnement de SolarWinds avec son produit Orion. C'est une plateforme de gestion et de surveillance de l'infrastructure informatique dans des environnements sur site, hybrides et SaaS (Software as a Service).

La cyberattaque a eu lieu entre mars 2020 et juin 2020, avec pour conséquence l'infection par un code malveillant de mises à jour de la solution Orion (à la suite d'une modification d'un composant DLL Windows). Un malware - cheval de Troie et backdoor - dénommé SUNBURST par FireEye et Solorigate par Microsoft… qui ont tous deux été victimes.

D'après Reuters, qui évoque des sources proches du dossier, les propres produits de Microsoft ont ensuite été exploités pour étendre la cyberattaque à d'autres cibles. A priori, des services cloud Microsoft Azure.

Microsoft n'a pas contribué à des infections

Grâce aux indicateurs de compromission, le groupe de Redmond confirme avoir détecté des binaires malveillants de SolarWinds dans son environnement, en soulignant qu'ils ont été isolés et supprimés. Par contre, Microsoft assure ne pas avoir trouvé de preuve d'un accès à des services de production ou des données de clients.

Le groupe ajoute qu'il n'y a " absolument aucune indication que ses systèmes ont été utilisés pour attaquer d'autres cibles. "

SolarWinds a prévenu 33 000 clients au sujet de la cyberattaque, mais seulement 18 000 auraient effectivement utilisé la version infectée de la plateforme Orion susceptible d'ouvrir un canal de communication pour des attaquants.

cyberattaque-solarwinds-microsoft-carte-victimes
En se basant sur l'analyse des données de ses clients, Microsoft indique avoir identifié pour le moment plus d'une quarantaine de victimes avec une exploitation effective, dont près de 80 % aux États-Unis. D'autres pays touchés sont le Canada, Mexique, Belgique, Espagne, Royaume-Uni, Israël et les Émirats arabes unis. Le secteur des technologies de l'information est principalement concerné, devant les agences gouvernementales et ONG.

cyberattaque-solarwinds-microsoft-victimes-secteur-activite
Krebs on Security avait révélé que FireEye, GoDaddy et Microsoft ont œuvré ensemble pour faire barrage au déploiement de la backdoor avec un kill switch en lien avec un sous-domaine internet exploité par le code malveillant.

Rappelons des suspicions d'une cyberattaque fomentée par le groupe APT29 (alias Cozy Bear) en lien avec les services de renseignement russes.