Microsoft, l’un des acteurs impactés par le piratage SolarWinds, déclare que les auteurs avaient introduit leur maliciel chez SolarWinds, il y a plus d’un an déjà.
Quasiment tout le monde de la sécurité est bouleversé depuis qu’il est apparu que divers services publics et entreprises sont vulnérables à des actes de piratage, probablement dirigés (mais pas encore démontrés) par la Russie. L’origine du piratage est la plate-forme Orion, un logiciel de la firme américaine SolarWinds, où des mises à jour du produit ont été manipulées, afin d’installer un maliciel qui a ensuite créé une porte dérobée au profit de pirates.
Dans le cadre de l’enquête menée sur cette attaque, Microsoft déclare à présent que les auteurs testaient activement les possibilités depuis des mois déjà avant le déploiement de ces mises à jour. Dans un communiqué détaille posté sur un blog, l’entreprise affirme qu’il s’agit d’un fichier DLL compromis dans la plate-forme Orion. Un fichier DLL de 4.000 lignes de code a ouvert la porte aux pirates.
Les mises à jour logicielles de ce genre sont signées numériquement pour découvrir toute manipulation. Mais d’après Microsoft, il existe une preuve que les auteurs testèrent les possibilités en octobre 2019 déjà.
Cela donne à penser que la manipulation du code était déjà en cours avant que la mise à jour finale (au printemps de 2020) ne soit envoyée. Ce faisant, l’adaptation s’avéra moins visible que si elle avait été ajoutée à la dernière minute aux mises à jour en question.
Dans le message posté sur son blog, Microsoft donne plus de renseignements sur ces pratiques. On apprend ainsi que la porte dérobée incorporée exécute également une série de contrôles pour vérifier qu’elle tourne bien sur un véritable réseau et pas dans un environnement de type bac à sable. Une fois active, elle manipule en outre toute une série de sous-domaines, y compris des pratiques destinées à réduire le risque que des activités malfaisantes ne soient découvertes.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici