Le dangereux cheval de Troie Sunburst, soupçonné d'être lié à un groupe de piratage informatique russe, a été arrêté par un coupe-circuit commun conçu par une équipe de spécialistes de Microsoft, Allez papa, et FireEye. Cela a été signalé dans la communauté de la sécurité après l'intrusion de la semaine dernière dans SolarWinds, une société de logiciels d'entreprise.
Pourquoi le cheval de Troie Sunburst devait être arrêté
De nombreuses informations sont devenues disponibles sur le cheval de Troie Sunburst après son utilisation dans une attaque d'intrusion la semaine dernière contre SolarWinds. Il a été signalé que l'incident de sécurité contre l'entreprise avait été effectué via sa propre application appelée Orion. Ce que nous savons, c'est qu'il est possible que le célèbre groupe de piratage russe appelé APT29 (également connu sous “Ours douillet”) est derrière. Bien que cela ne soit pas confirmé, c'est l'une des possibilités probables.
Cette nouvelle “cassé” hors d'un article au Washington Post déclarant que le groupe russe est à l'origine d'une campagne d'espionnage visant des agences appartenant au gouvernement américain. Bien que le journal ne nomme pas explicitement leurs sources, cela a provoqué pas mal de recherches sur le sujet.
Selon les informations publiées, les criminels de ce collectif de hackers ont pu s'infiltrer dans les systèmes de messagerie des agences à l'aide d'un package malveillant qui est une version modifiée du programme SolarWinds Orion. Apparemment, les criminels utilisaient mises à jour infectées par des logiciels malveillants aux réseaux cibles. Le vecteur d'attaque peut être les systèmes de messagerie, on soupçonne que les agences utilisent un réseau de services basé sur le cloud. Cela offre la possibilité d'infecter de nombreux appareils à la fois.
Orion by SolarWinds est en fait une plate-forme complexe qui offre aux administrateurs réseau la possibilité de suivre et de mesurer leur infrastructure et les installations logicielles prises en charge. Cette suite de programmes et de solutions est probablement utilisée par de nombreux utilisateurs et grandes entreprises., cela montre la gravité de la situation. Selon les informations SolarWinds a lui-même alerté ses clients, mais seulement environ la moitié d'entre eux ont obtenu les paquets infectés par les chevaux de Troie.
La principale méthode d'infiltration est la distribution de ces mises à jour malveillantes d'Orion — cela est possible en détournant un serveur appartenant à l'entreprise ou en utilisant une vulnérabilité dans l'application pour déclencher la livraison de vos paquets infectés par le virus. Le cheval de Troie Sunburst est une porte dérobée sophistiquée conçue pour détourner les données de l'utilisateur et s'installer profondément dans les ordinateurs compromis.
Capacités du cheval de Troie Sunburst
Grâce à l'échantillon capturé du cheval de Troie, nous pouvons donner une description détaillée de ses capacités. Ils ont été analysés dans un environnement spécial et permettent aux chercheurs en sécurité de vérifier ce qu'il fait exactement sur les machines compromises. À partir des résultats de l'analyse, il est évident que le cheval de Troie peut avoir été utilisé depuis mars 2020.
Le cheval de Troie Sunburst en tant que représentant typique de ce type de catégorie de malware se cachera profondément dans les systèmes. En partie en raison de sa distribution, il peut être programmé pour exécuter un large éventail d'actions dangereuses, y compris la reconfiguration du système. Il comprend un mécanisme conçu pour contourner la détection de sécurité en commençant par un gros retard. Cela supprime les filtres typiques utilisés par les programmes antivirus qui supposent que les infections virales se produisent immédiatement après le déploiement de la menace pertinente sur un système donné.. Certaines des capacités notées des fichiers Trojan sont les suivantes:
- La récolte des données — Différents types d'informations peuvent être collectés automatiquement par le malware, selon la façon dont ils sont programmés. Cela peut inclure des informations personnelles sur l'utilisateur qui peuvent être utilisées à différents types de fins criminelles: chantage, extorsion, et vol d'identité. Cela peut être étendu aux informations système, un large éventail de données peut être extrait: des valeurs d'environnement de système d'exploitation individuelles aux périphériques matériels utilisés. Un algorithme spécial peut être utilisé pour créer un identifiant unique basé sur les informations collectées.
- Les modifications du Registre Windows — Si des valeurs de registre sont modifiées, les utilisateurs peuvent rencontrer des problèmes de performances, l'incapacité d'exécuter certains services, et même la perte de données.
- suppression des fichiers — Grâce à l'exécution du cheval de Troie, il peut supprimer des fichiers importants tels que des sauvegardes et des clichés instantanés de volume. S'il altère les fichiers du système d'exploitation, cela peut entraîner d'autres problèmes lors de la tentative de récupération.
- Livraison Malware supplémentaires — Au fur et à mesure que ce virus s'installe à l'aide d'une méthode sophistiquée, les pirates peuvent y intégrer d'autres menaces., y compris ransomware.
Le cheval de Troie Sunburst a noté de nombreux mécanismes avancés qui font tous partie du modèle de comportement avancé typique — il peut suivre et désactiver les moteurs du logiciel de sécurité installé, manipuler le trafic réseau, et etc. Compte tenu des circonstances de son déploiement, les cibles compromises, et le haut niveau de sophistication, nous pouvons en déduire que le groupe de piratage l'utilise probablement pour surveillance détaillée.
Un cheval de Troie Sunburst arrêté par Kill Switch conçu par l'équipe conjointe de GoDaddy, Microsoft et FireEye
Suite à la découverte du malware et compte tenu de la gravité de la situation, une équipe conjointe d'experts a mis au point un kill switch pour empêcher le malware de se propager davantage.. Experts de Microsoft, Allez papa, et FireEye a détecté qu'un seul domaine contrôlé par un pirate informatique exécute le service de commande et de contrôle principal. Le cheval de Troie fonctionne en masquant le trafic réseau et en analysant les flux réseau, des connexions actives peuvent être établies. Les commandes malveillantes sont envoyées dans un format spécial, ils sont appelés “emplois”. Toutes sortes d'options sont prises en charge, y compris le transfert de fichiers, désactiver les services système, collecter des informations, etc.
Ce cheval de Troie propage également une partie de son trafic via réseaux privés virtuels pour tenter de cacher sa présence sur les réseaux compromis. Le coupe-circuit créé par trois sociétés a permis de détecter et d'arrêter l'activité criminelle de l'attaque actuelle.
Le kill switch désactivera les nouvelles infections et bloquera également l'exécution des précédentes en arrêtant l'activité sur le domaine. Cependant, cela ne supprimera pas les installations d'agent actif ou d'autres logiciels malveillants qui ont été déployés via celui-ci. Pour cette raison, une analyse antivirus active et approfondie est recommandée pour tous les ordinateurs et réseaux d'entreprise.