Solarwinds et Sunburst – Threat Intelligence, Vulnerability Management, Network Detection and Response, Endpoint Detection and Response, les pistes pour faire face sont multiples. Rapide analyse avec nos partenaires Rapid7, Recorded Future, Extrahop , Cybereason et Palo Alto Networks
Le 13 décembre, FireEye fournissait des informations détaillées sur une vaste campagne d’attaque impliquant un élément de la plateforme SolarWinds. En effet, cet incident impliquait un code malveillant, plus précisément une mise à jour sous forme de trojan, identifié dans le logiciel de surveillance des performances et des statistiques informatiques Orion. La « back door » affecte les serveurs exécutant le logiciel Orion, qui sont souvent moins bien protégés que les postes de travail des utilisateurs finaux ou les applications. Cette attaque sur la « supply chain » a été menée par des opérateurs présumés d’États nations, identifiés pour l’instant sous le nom de SolarStorm. Progressivement, des informations provenant d’autres fournisseurs et organisations impactés ont été publiées.
Plusieurs de nos partenaires ont publié des informations permettant d’illustrer leurs capacités à faire face à cette attaque spécifique mais également de façon plus générale à tout type de menace similaire.
Selon les recommandations Rapid7, si vous faites partie des 18 000 organisations susceptibles d’utiliser des composants Orion compromis, FireEye a fourni un certain nombre de contre-mesures que vous pouvez déployer dans des contextes de détection, en examinant les événements futurs, et de criminalistique, en consultant les journaux de détection des intrusions et des pare-feux, les événements système/réseau et les alertes de surveillance de la cybersécurité. Si votre organisation est équipée de SolarWinds Orion, il est plus prudent de considérer que tous les hôtes surveillés par ces systèmes sont eux-mêmes compromis. La restauration des opérations dans un état de bon fonctionnement impliquerait la réinitialisation de toutes les références stockées dans SolarWinds Orion et la reconstruction de tous les hôtes surveillés à partir de sources fiables.
Une autre approche, moins pertubatrice, consiste à se référer aux conseils de SolarWinds. Plus précisément, il faut envisager de passer à la version actuelle du correctif (2020.2.1 HF 1) dès que possible et de surveiller les communications de SolarWinds en vue de la publication de la version 2020.2.1 HF 2. Une fois ce correctif appliqué, les organisations doivent s’assurer que les serveurs SolarWinds sont bien isolés.
L’équipe de recherche sur les menaces de Recorded Future, Insikt Group, a identifié les principaux indicateurs de compromission à partir de 11 sources différentes. Insikt utilise des outils récemment publiés dans plusieurs sources pour inverser l’algorithme de génération de domaine (DGA) de SUNBURST afin d’identifier les hôtes affectés.
Grâce à leur technique de collecte et de corrélation de données, Recorded Future a identifié 1 556 actifs Internet associés à SolarWinds Orion sur 372 entreprises. Il s’agit d’une information clef qui offre un niveau de visibilité et de fiabilité très élevé, car les corrélations sont directement liées à SolarWinds Orion.
En utilisant des outils open source, Recorded Future a décodé l’algorithme de génération de domaine SUNBURST (DGA) et identifié plus de 1 400 fragments de noms d’hôtes correspondant à 286 noms de domaine et 47 entreprises susceptibles d’avoir été touchées par l’incident de sécurité.
La plateforme de défense de Cybereason offre une protection multicouche et est conçue pour bloquer les menaces avancées en se basant sur les Indicateurs de Compromission (IOC) et sur les Indicateurs de Comportement (IOB). Cybereason s’appuye sur un apprentissage automatique (Machine Learning) qui détecte les menaces inconnues que les outils traditionnels ne parviennent pas à détecter.
Lorsque le malware tente de lancer l’étape de l’algorithme de génération de domaine (DGA) pour établir des communications avec les serveurs Command and Control, Cybereason reconnaît ce comportement malveillant et bloque immédiatement la menace. Cybereason reconnaît les nouvelles techniques d’attaque complexes, bien que le code malveillant semble faire partie d’une mise à jour logicielle et que la menace soit suffisamment avancée pour contourner les détections traditionnelles basées sur la signature AV et le Machine Learning de nouvelle génération.
La plateforme de défense de Cybereason combine les détections et les réponses les mieux notées du secteur (EDR et XDR), l’anti-virus de nouvelle génération (NGAV) et une chasse proactive des menaces pour fournir une analyse riche de chaque risque identifié.
Todd Kemmerling, directeur de la science des données chez ExtraHop, a analysé cette attaque afin de fournir des indications sur la manière d’améliorer la détection des menaces à l’avenir. Compte tenu des ressources et de la nature de la menace, y compris l’utilisation d’attaques sur la « supply chain » contre l’infrastructure et les « workloads », les défenses traditionnelles sont inefficaces et les organisations doivent donner la priorité à la détection via le réseau et en particulier les mécanismes NDR (Network Detection and Response). Une analyse poussée des données circulant sur le réseau offre la meilleure opportunité de détecter, d’enquêter et de répondre à ces menaces rapidement et efficacement.
La solution NDR Reveal(x) d’ExtraHop est particulièrement adaptée pour atténuer le risque créé par le trojan SUNBURST. En effet, la solution enregistre de nombreuses métadonnées et mesures historiques, qui peuvent être interrogées pour rechercher des menaces spécifiques. ExtraHop Reveal(x) est constamment amélioré pour permettre la mise à disposition de nouveaux mécanismes permettant d’identifier les nouvelles menaces. Ces capacités sont encore améliorées par la plateforme Reveal(x) 360, qui permet de stocker des enregistrements avec 90 jours d’historique, donnant ainsi aux analystes les outils nécessaires pour effectuer des recherches efficaces.
L’unité 42 de Palo Alto Networks a pu établir un lien entre cet événement et une attaque qu’elle avait réussi à prévenir plus tôt cette année contre son propre réseau et qui correspond aux détails de l’évènement signalés par FireEye. Dès le 18 décembre, elle a proposé de mettre à disposition de ses clients des solutions permettant de faire face à cette menace dans le cadre d’un programme d’évaluation. Plus de 600 entreprises ont demandé ce service dans les quatre premiers jours. L’unité 42 a mené des recherches basées sur ce qui est publiquement disponible et sur les informations identifiées dans les données internes. L’analyse a jusqu’à présent conclu que les activités de SolarStorm ont commencé dès août 2019. L’unité 42 a pu visualiser la persistance de l’opération depuis le ciblage initial jusqu’à la réalisation de l’objectif. Les acteurs de la menace SolarStorm sont hautement qualifiés et minutieux dans leur traitement opérationnel. Si SolarStorm est capable d’utiliser de nombreuses techniques pour atteindre son objectif, les détails sur les vecteurs d’accès initiaux au-delà du logiciel SolarStorm compromis n’ont pas encore été confirmés.
Les entreprises sur la voie du cloud hybrideA propos de
ACKnowledge.
ACKnowledge, intégrateur et société de conseil, est spécialisée dans la modernisation des infrastructures IT, avec un focus sur la cybersécurité et le cloud. La performance, la visibilité et l’automatisation font également partie des sujets stratégiques et mis en avant de façon systématique par ACKnowledge.
Expertise technique et sens du service sont les fondements d’ACKnowledge. Son objectif est de travailler dans une logique d’intégration continue, du choix des solutions les plus pertinentes à leur support technique en passant par leur déploiement. La volonté affichée est également de faire évoluer ces solutions en permanence et de garantir leur efficacité sur le long terme.
