piratage de Solarwinds

Microsoft a partagé mercredi plus de détails sur les tactiques, techniques et procédures (TTP) adoptées par les attaquants derrière le piratage de SolarWinds pour rester sous le radar et éviter la détection, alors que les entreprises de cybersécurité s’efforcent d’obtenir une «image plus claire» de l’un des plus attaques sophistiquées dans l’histoire récente.

Appelant l’acteur de la menace “des opérateurs habiles et méthodiques qui suivent les meilleures pratiques de sécurité des opérations (OpSec)”, la société a déclaré que les attaquants se sont mis en quatre pour s’assurer que la porte dérobée initiale (Sunburst alias Solorigate) et les implants post-compromis (Teardrop et Raindrop) sont séparés autant que possible afin d’empêcher les efforts de repérer leur activité malveillante.

“Les attaquants derrière Solorigate sont des opérateurs de campagne qualifiés qui ont soigneusement planifié et exécuté l’attaque, en restant insaisissables tout en maintenant la persistance”, chercheurs de l’équipe de recherche Microsoft 365 Defender, du Microsoft Threat Intelligence Center (MSTIC) et du Microsoft Cyber ​​Defense Operations Center (CDOC) m’a dit.

Alors que l’identité exacte du groupe est suivie comme StellarParticle (CrowdStrike), UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), et Halo sombre (Volexity) sont encore inconnus, le gouvernement américain au début du mois a officiellement lié la campagne d’espionnage à un groupe probablement d’origine russe.

Une variété de tactiques pour ne pas être détecté

La chronologie des attaques de Microsoft montre que la porte dérobée Sunburst DLL entièrement fonctionnelle a été compilée et déployée sur la plate-forme Orion de SolarWinds le 20 février, après quoi elle a été distribuée sous la forme de mises à jour trafiquées fin mars.

piratage de Solarwinds

Une période de reconnaissance de près de deux mois pour dresser le profil de ses cibles – ce qui nécessite une persévérance furtive pour ne pas être détecté et collecter des informations précieuses – a finalement ouvert la voie au déploiement des implants Cobalt Strike sur des réseaux de victimes sélectionnés en mai et au retrait de Sunburst. depuis l’environnement de build SolarWinds le 4 juin.

Mais les réponses sur la manière et le moment de la transition de Sunburst à Raindrop n’ont donné que peu d’indices définitifs, même s’il semble que les attaquants ont délibérément séparé l’exécution du chargeur Cobalt Strike du processus SolarWinds en tant que mesure OpSec.

piratage de Solarwinds

L’idée est que dans le cas où les implants Cobalt Strike seraient découverts sur les réseaux cibles, cela ne révélerait pas le binaire SolarWinds compromis et l’attaque de la chaîne d’approvisionnement qui a conduit à son déploiement en premier lieu.

Les résultats montrent également clairement que, bien que les pirates informatiques se soient appuyés sur un éventail de vecteurs d’attaque, le logiciel SolarWinds trojanisé constituait le cœur de l’opération d’espionnage:

  • Évitement méthodique des indicateurs partagés pour chaque hôte compromis en déployant des implants DLL Cobalt Strike personnalisés sur chaque système
  • Camoufler les outils malveillants et les binaires pour imiter les fichiers et programmes existants déjà présents sur la machine compromise
  • Désactiver la journalisation des événements à l’aide d’AUDITPOL avant activité pratique du clavier et le réactiver une fois terminé
  • Création de règles de pare-feu spéciales pour minimiser les paquets sortants pour certains protocoles avant d’exécuter des activités d’énumération de réseau bruyant qui ont ensuite été supprimées après l’analyse du réseau
  • Exécuter des activités de mouvement latéral uniquement après avoir désactivé les services de sécurité sur les hôtes ciblés
  • Utiliser prétendument la correction temporelle pour modifier l’horodatage des artefacts et tirer parti des procédures et des outils d’effacement pour empêcher la découverte d’implants DLL malveillants

Adopter une mentalité de confiance zéro

“Cette attaque était à la fois sophistiquée et ordinaire”, a déclaré Microsoft. “L’acteur a fait preuve de sophistication dans l’étendue des tactiques utilisées pour pénétrer, s’étendre et persister dans l’infrastructure affectée, mais bon nombre des tactiques, techniques et procédures (TTP) étaient individuellement ordinaires.”

Pour se protéger contre de telles attaques à l’avenir, l’entreprise recommande aux organisations d’adopter un “mentalité de confiance zéro“pour obtenir l’accès le moins privilégié et minimiser les risques en activant l’authentification multifacteur.

«Avec Solorigate, les attaquants ont profité de larges attributions de rôles, d’autorisations qui dépassaient les exigences de rôle et, dans certains cas, ont abandonné des comptes et des applications qui n’auraient pas du tout dû avoir d’autorisations», a déclaré Alex Weinert, directeur de la sécurité d’identité de Microsoft.



Leave a Reply