Logiciel malveillant SUNBURST

Par GoldSparrow en Malware

Se traduisent par :

Le logiciel malveillant SUNBURST est une nouvelle menace qui a été diffusée grâce à une campagne d'attaque prolongée de la chaîne d'approvisionnement. L'opération est en cours depuis au moins mars 2020. Selon les chercheurs d'Infosec, les acteurs de la menace ont compromis le mécanisme de mise à jour du logiciel SolarWinds Orion et l'ont forcé à commencer à livrer la menace du cheval de Troie SUNBURST.

Le principal attrait des attaques de la chaîne d'approvisionnement est que le fait de franchir une cible avec succès donnera aux pirates informatiques accès à un large sous-ensemble de victimes potentielles. En effet, les utilisateurs sont habitués à ce que leur logiciel installe automatiquement de nouvelles mises à jour et n'y prêteront pas forcément attention. Pour masquer davantage sa présence, SUNBURST n'initie pas immédiatement son activité menaçante, mais choisit plutôt de rester discret pendant un moment sur le système compromis. Le cheval de Troie a ensuite été entièrement déployé contre des victimes sélectionnées pour lesquelles les pirates informatiques ont montré un intérêt significatif. Jusqu'à présent, plus de 2000 systèmes informatiques appartenant à 100 entités différentes ont été détectés comme infectés par les mises à jour de logiciels cheval de Troie contenant SUNBURST.

La méthodologie utilisée par les cybercriminels comprenait la modification d'une DLL SolarWinds légitime appelée SolarWinds.Orion.Core.BusinessLayer.dll. Les pirates ont ajouté une nouvelle classe au fichier nommé OrionImprovementBusinessLayer, qui pourrait exécuter un large éventail de fonctions menaçantes sur la machine compromise. Parmi les fonctions du cheval de Troie, les chercheurs d'Infosec ont découvert la capacité de récolter et d'exfiltrer des informations sensibles, de manipuler les systèmes de fichiers et de registre, d'accéder aux informations sur les adaptateurs réseau, d'extraire et d'exécuter du code arbitraire, de redémarrer le système et d'une fonction pour se terminer.
Les informations recueillies par SUNBURST sont à la fois vastes et variées. La menace collecte le domaine, le nom d'hôte, le nom d'utilisateur, la version du système d'exploitation, le SID du compte d'administrateur tandis qu'à partir des adaptateurs réseau, elle enregistre l'adresse MAC, DHCPE activé, DHCPServer, DNSHostName, IPAddress, IPSubnet, DefaultIPGateway, etc.

Il convient de noter que SUNBURST a été signé à l'aide d'un certificat indiquant qu'il a été émis par Symantec. La société a précisé qu'elle avait vendu son autorité de certification en 2018 et que le certificat en question était un ancien certificat utilisant toujours le nom de marque Symantec.