Microsoft a publié ses conclusions actuelles sur l’attaque SolarWinds qui continue de secouer l’industrie mondiale de la cybersécurité.
Jusqu’à présent, la société de technologie a été en mesure de décrire les méthodes d’attaque, les souches de logiciels malveillants et les stratégies d’atténuation, mais continue de souligner que l’ampleur de la cyberattaque reste inconnue.
Selon l’enquête de Microsoft, l’attaque SolarWinds a pu avoir lieu en raison d’un fichier DLL compromis associé à la plate-forme de gestion d’infrastructure Orion. L’insertion de code malveillant dans ce fichier a créé une porte dérobée que les pirates peuvent exploiter, leur permettant ensuite de mener une attaque pratique au clavier.
«Dans beaucoup de leurs actions, les attaquants ont pris des mesures pour maintenir un profil bas», a expliqué l’équipe de recherche Microsoft 365 Defender. «Par exemple, le code malveillant inséré est léger et n’a pour tâche que d’exécuter une méthode ajoutée par un logiciel malveillant dans un thread parallèle de sorte que les opérations normales de la DLL ne soient pas modifiées ou interrompues. Cette méthode fait partie d’une classe que les attaquants ont nommée OrionImprovementBusinessLayer pour se fondre dans le reste du code. La classe contient toutes les fonctionnalités de la porte dérobée, comprenant 13 sous-classes et 16 méthodes, avec des chaînes obscurcies pour masquer davantage le code malveillant. »
Sommaire
Plus de malwares
Dans un article de blog détaillé, Microsoft a poursuivi en expliquant que la porte dérobée DLL permet aux attaquants de fournir des charges utiles de deuxième étape. Au total, le géant de la technologie a mis en évidence plusieurs souches de logiciels malveillants affectant la plate-forme SolarWinds.
L’attaque SolarWinds a fait la une des journaux lorsqu’elle a éclaté la semaine dernière, avec des agences gouvernementales américaines de haut niveau parmi les personnes touchées. Le secrétaire d’État américain Mike Pompeo s’est récemment prononcé pour soutenir les accusations accusant la Russie de la cyberattaque.
Heureusement, Microsoft Defender a été équipé pour bloquer la DLL SolarWinds malveillante. Le programme antivirus isolera également les logiciels malveillants associés, même si le processus est toujours en cours d’exécution.
