De nouvelles analyses, réalisées par les chercheurs en sécurité de Reversing Labs, montrent que les hackers russes ont utilisé des méthodes particulièrement sophistiquées pour infecter les mises à jour du logiciel Orion, de SolarWinds, et ainsi ses 18 000 clients.
En décompilant les fichiers exécutables et en inspectant les horodatages, les chercheurs concluent que les pirates ont directement modifié le code source d’une librairie utilisée par la classe InventoryManager, une partie du code qui s’occupe de réaliser l’inventaire du parc informatique.
C’est évidemment très malin, car c’est une tâche qui s’exécute en arrière-plan et qui peut prendre beaucoup de temps. C’est donc l’endroit idéal pour cacher le code d’espionnage, baptisé SunBurst.
Celui-ci prend la forme d’une classe rajoutée dans une DLL et baptisée « OrionImprovementBusinessLayer », respectant ainsi à la lettre la charte de nommage des développeurs de SolarWinds. Cette classe a d’abord été insérée sous forme d’une coquille vide, histoire de vérifier le principe de contamination.
Dans un second temps, les pirates ont rajouté le véritable code malveillant, en faisant appel à des techniques de compression et d’encodage, pour camoufler certaines parties.
La plate-forme de développement de SolarWinds a ensuite compilé la librairie infectée au code de l’agent d’inventaire. L’exécutable a ensuite été signé et diffusé aux clients, ni vu ni connu.
Reste maintenant à savoir comment ce code a pu être modifié et pourquoi il a pu être compilé et signé sans aucune vérification.
Il n’est pas impossible que les pirates aient réussi à prendre le contrôle du logiciel de gestion des sources pour insérer leur faux code. Mais les chercheurs de Reversing Labs ne peuvent pas, à leur niveau, le savoir. Seule l’enquête interne pourra le déterminer.
En tous les cas, cela montre que cette opération a été planifiée avec beaucoup de soin et qu’elle a nécessité des connaissances approfondies sur la manière dont SolarWinds réalise ses logiciels. C’est du grand art.
Source : Reversing Labs
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
