SolarWinds a fait les manchettes dernièrement lorsque le gouvernement des États-Unis a annoncé que Orion, la plateforme de surveillance des réseaux, était utilisé pour attaquer les entreprises fédérales des États-Unis. L’attaque a été qualifiée d’assaut sophistiqué et ciblé sur les chaînes d’approvisionnement, et certains pensent qu’elle ait été appuyée par des groupes de pirates informatiques de la Russie. L’événement a déjà capté l’attention des médias internationaux, incluant le blogue FireEye, qui a publié un article détaillé offrant un excellent résumé technique.
L’attaque a été lancée via un fichier DLL compromis qui a été envoyé dans la section des téléchargements du site Web de SolarWinds. Les personnes utilisant cette technologie doivent immédiatement mettre à jour le logiciel sur la plateforme Orion 2020.2.1 HF 1. Si la plateforme est utilisée par une autre infrastructure de gestion, une révision de la configuration des périphériques du réseau est grandement recommandée.
Pourquoi s’agit-il d’une menace si grave? Car le logiciel piraté est utilisé par des entreprises majeures ainsi que des organismes gouvernementaux, alors qu’il peut servir d’outil d’espionnage pour des pays étrangers.
Nous nous intéressons à ce piratage, puisque la manière dont les rapports avec le centre de contrôle et de commande ont été initiés est particulière. Pour être clairs, nous sommes toujours en « situation de jour zéro », alors il se peut que nous découvrions de nouveaux faits sur ce piratage dans les jours à venir qui pourraient changer notre perception. Cependant, il semblerait actuellement que le DNS soit utilisé pour atteindre un serveur et obtenir une réponse HTTP d’un sous-domaine de avsvmcloud (point) com. La requête livre ensuite le logiciel malveillant dans le domaine de contrôle et de commande. En tenant compte de ces informations, nous avons effectué une recherche pour voir si certains de nos clients (les entreprises utilisant le DNS Firewall de l’ACEI) au Canada étaient touchés.
Au cours des 30 derniers jours, nous pouvons confirmer que nous n’avons repéré aucune requête de DNS, du moins dans notre base d’utilisateurs, ce qui signifie que ce domaine n’est pas affecté. Ceci dit, nous tenons à préciser que les données partagées correspondent au moment où cette publication est rédigée. Il se peut donc que la requête soit détectée à une autre couche des solutions de cybersécurité.
En ce qui concerne le Bouclier canadien de l’ACEI, le service de sécurité DNS que nous offrons aux foyers canadiens, l’histoire est quelque peu différente. Nous avons détecté des récentes requêtes d’un domaine malveillant issu du Canada. Bien qu’il semble étrange qu’un service conçu pour les foyers utilise SolarWinds, il s’agit d’un service récursif ouvert gratuit, alors il n’est pas inconcevable de croire que certains « utilisateurs » du Bouclier canadien soient en fait des entreprises. De plus, nous ne conservons pas les données DNS des utilisateurs, conformément à notre politique de renseignements privés. Il s’agit d’une solution très pratique pour les utilisateurs, mais qui nous empêche d’enquêter plus en profondeur. S’agit-il d’un chercheur en cybersécurité qui effectue des tests? Est-ce une véritable menace lancée dans une entreprise au Canada? Nous ne le savons pas.
Nous pouvons seulement dire que les requêtes envoyées vers ce domaine malveillant proviennent du Canada. Il s’agit d’un faible nombre provenant d’un endroit isolé, mais la fréquence des requêtes d’une adresse IP individuelle nous porte à croire qu’il ne s’agit pas d’un modèle normal. Nous ne pouvons pas effectuer de recherches pour voir si la menace est présente depuis longtemps, car les données ne sont pas conservées dans le service gratuit du Bouclier canadien de l’ACEI. C’est une bonne raison pourquoi les entreprises doivent utiliser des plateformes conçues pour leurs besoins, comme le DNS Firewall de l’ACEI.
Alors que peuvent faire les entreprises? Elles peuvent suivre les consignes de FireEye. Elles peuvent se rappeler de l’importance de la sécurité à niveaux multiples pour se protéger contre des menaces sophistiquées comme celle-ci. Selon nos renseignements actuels, un service comme celui du DNS Firewall de l’ACEI serait également utile.
Cette attaque était très spécialisée, alors nous ne pouvons pas prévoir quelles en seront les répercussions.
Rob a acquis plus de 20 ans d’expérience de la rédaction, de la présentation et du blogage à l’intention de l’industrie des technologies. Il aborde des thèmes aussi variés que les outils de développement de logiciels, l’ingénierie inverse de Silicon, la cybersécurité et le DNS. De fait, Rob est un spécialiste du marketing passionné qui s’adresse aux professionnelles et aux professionnels des TI en leur donnant les renseignements et les précisions dont ils ont besoin pour s’acquitter de leurs tâches.
