bonjour à tous et bienvenue si vous nous
rejoignez merci d'avoir choisi
d'assister à cette présentation
alors je vous propose de revenir
aujourd'hui avec un peu plus de recul
sur la taxe découverte en fin d'année
dernière basée sur le code sunburst et
qui a exploité un outil de l'éditeur
solar wind donc moi c'est pierre bayle
chez je suis senior security chercheur
au sein du laboratoire great de
kaspersky et je vous propose qu'on
avance ensemble sur ce sujet en
commençant par sa genèse alors la
jeunesse et la découverte de l'attaqué
affecté solarwinds elle se fait
essentiellement par l'intermédiaire de
deux formulaires de déclarations
d'incident à l'autorité de contrôle des
marchés financiers américains la sec
donc le 8 décembre d'abord par l'éditeur
faille rail qui évoque une attaque d'un
niveau de sophistication exceptionnelles
et donc indique que l'acteur
responsables de cette attaque est
probablement un état suivi ensuite par
le principal concerné le 14 décembre
solarwinds qui indique lui que 33 mille
de ses clients de la solution orion sont
concernés alors quel est le problème au
juste
le problème c'est celui de la
compromission de la chaîne d'assemblage
logiciel de l'outil aurions de l'éditeur
solarwinds concrètement du 26 mars au 4
juin 2020 les mises à jour du logiciel
aurions télécharger depuis les systèmes
officielle de mise à jour de solar wind
sont piégés et délivre aux clients non
seulement la mise à jour attendue mais
également un code malveillant dénommé
sunburst alors aurions c'est une
solution de supervision et de gestion de
la production de l'infrastructure
informatique
donc ça prend la forme d'un ou plusieurs
serveurs installés chez les clients qui
servent de centres de contrôle à des
agents logiciels installés au sein des
systèmes haïti des clients une solution
comme orient on dispose d'un important
périmètre d'accès au sein des systèmes
clients mais surtout une solution comme
orion est très largement déployée
solarwinds revendique plusieurs
centaines de milliers de clients au
moment des faits dont une grande partie
sont des organisations gouvernementales
et des entreprises géantes aux états
unis dans le détail le piège sunburst et
intégrer de façon assez remarquable dans
une bibliothèque du logiciel aurions
dont le code est exécuté régulièrement
pour charger
nouveau module la modification du code
dorion se fait par dix lignes seulement
dans une bibliothèque sedivy servent à
lancer une tâche supplémentaire et en
l'occurrence le code de thunders
lui-même également intégré dans la même
bibliothèque d'orient alors les
conventions de nommage le style de
codage dorion sont respectés
scrupuleusement par le code de la
backdoor sunburst et en lisant
simplement le code source d'orient on
pourrait croire que ça fait vraiment
partie de ce que les développeurs ont
fait alors la compromission d'un outil
légitime à des fins de distribution de
codes malveillants
on appelle ça qu'on production de la
chaîne d'approvisionnement ou supply
chain attaque c'est pas nouveau la
proche
elle est intéressante à plusieurs titres
parce qu'elle peut permettre de
contourner le haut niveau de sécurité de
certaines cibles en visant plutôt des
partenaires de confiance
moins protégé mais elle permet aussi
d'atteindre un potentiel très large de
cibles toutes celles qui utilisent le
produit qu'on a compromis alors parmi
les exemples notables on peut citer le
cas notre petya en 2017 ou les mises à
jour d'un logiciel de comptabilité
ukrainien avait été modifié pour
distribuer une charge malveillantes
hawaï peur qu'on a pendant un temps
confondus avec un rang somewhere la
compromission permettait le sabotage
voilà dans le même genre on a shadow pad
en 2017 ou shadow amr en 2018 qui ont
exploité des outils comme ccleaner née
de sa range des utilitaires de mise à
jour d'asus ou des jeux vidéo pour
distribuer cette fois ci des codes
malveillants à des fins d'espionnage et
on peut également évoquer le cas de
cloud hopper attribué explicitement à 1
pt 10 et au ministère de la sécurité
chinois par les états unis depuis
c'est une approche un peu différente il
s'agissait cette fois ci tu compromettre
des systèmes haïti deux géants de
l'infogérance tels que hp ou ibm ou
encore fujitsu afin d'atteindre les
données des clients de ces infos gérant
ici aussi on est bien sûr une attaque de
la supply chain
mais simplement le produit visé n'est
plus un outil logiciel c'est un service
alors on va maintenant s'intéresser à la
méthodologie et aux conséquences de la
tacc solarwinds donc l' approche
générale de l' attaque
déjà elle mérite un arrêt sur image pour
prendre conscience
de l'ampleur de l'opération vue du
papier de ceux qui l'ont conçu
globalement et comme toute bonne
opération militaire c'est une approche
en trois phases la première phase
consiste à pénétrer de nombreux systèmes
informatiques d'un coup dont celui des
cibles réelles mais pas uniquement et
pourquoi pas même se laisser porter par
des opportunités surnom haletant si les
cibles sont durs c'est en effet beaucoup
plus intéressant de compromettre une
fois un éditeur ou un partenaire commun
que de compromettre une à une
l'ensemble des sites difficiles réel
qu'on a la deuxième phase ensuite
consiste à valider et consolider l'axé
obtenu c'est à dire déterminer si les
intrusions réussi correspondent
effectivement aux cibles réelles qu'on
avait et le cas échéant transformer
l'intrusion en accès exploitable de
préférence persistant donc ça ça va
impliquer des actions de reconnaissance
et de découverte au sein des réseaux
compromis pour savoir déposé exploiter
l'axé conformément à l'objectif ensuite
enfin la troisième phase
il s'agit de mettre en oeuvre les
actions souhaitées au sein du système
cible et en l'occurrence ici très
probablement du recueil de
renseignements donc globalement cette
approche elle est très ambitieuse et si
on s'intéresse au détail de chaque phase
on peut se rendre compte qu'une telle
opération représente un travail colossal
en face d'eux par exemple il faut
pouvoir explorer et maintenir des accès
au sein de plusieurs dizaines de
systèmes qui ont été compromis en même
temps donc ça implique une organisation
qui dispose de capacités notamment
humaines importantes de supervision
surtout ici des indices d'investigation
a posteriori permettent de constater
qu'une importance majeure a été accordée
à la sécurité des opérations
l'attaquant sait qu'il sera découvert et
conçoit ses tactiques en connaissance de
cause il est c'est pas forcément de se
cacher indéfiniment il sait qu'ils
s'attaquent à lessive le dur et qui
finira par être découvert
mais en revanche ils cherchent à
maximiser le temps dont il dispose pour
mettre en oeuvre sa phase iii et ça ça
implique une maîtrise très importante de
sa propre opération
alors si on regarde la chronologie connu
la chronologie à nous sert à peu près le
même message on part sur une divulgation
en décembre 2020 et déjà on est à un an
et trois mois d'activité de l'attaquant
le parent volontairement de divulgation
au 8 décembre et pas découverte parce
que concrètement lui décembre fire ice
est un communiqué de presse et une
déclaration à l'autorité américaine la
sec et on imagine qui fait pas cette ce
communiqué cette déclaration à la
seconde de sa découverte mais aussi
parce que a posteriori on découvre qu'un
des éléments d'infrastructure majeurs de
l'attak a été désactivé en octobre 2020
et donc on peut légitimement imaginer
que les investigations de fireeye ont
commencé autour de cette période
au dernier trimestre voilà donc une
divulgation un an et trois mois après la
première action de l'opération contre
une organisation victimes
on est déjà bien après la planification
et la préparation de l'opération
et puis on constate aussi dans la
chronologie qu'on a cinq mois de travail
pour la mise en oeuvre des phases ii et
iii hausse important de systèmes
d'information organisation qui sont
réputés très mature la chronologie elle
démontre une bonne préparation dans la
mesure où entre la première divulgation
publique de saunders sa première
diffusion plus tôt et la première
exploitation d'une cible réelle en face
d'eux il s'écoule moins d'un mois à
l'échelle d'une opération d'une telle
ampleur quand on sait qu'on est en
pleine explosion pandémique mondiale
c'est forcément le résultat d'une
opération très préparée et d'ailleurs si
cette transition est courte
le délai entre la première intrusion
chez solarwinds et la diffusion du code
sunburst lui est de six mois et on voit
bien que à ce moment là l'attaquant a
cherché au maximum à s'accorder le temps
de la discrétion et à s'assurer de la
robustesse de sa compromission pour
pouvoir avancer parce que s'il est
découvert ici pourra pas mettre en
oeuvre les phases suivantes
et c'est le 7 août l'opération qui tombe
à l'eau alors sur le plan technique
comment la compromission dorion s'est
elle déroulée alors grâce à un autre
code sophistiqué qu'on appellera sun
spot ce spot il est introduit comme un
processus persistant sur les serveurs de
compilation dorion donc le code
malveillant
ce spot va surveiller la mémoire du
système pour détecter l'exécution d'un
autre processus qui s'appelle ms bild
alors msb c'est grosso modo le
compilateur intégré à la suite microsoft
visual studio
lorsque le lancement de ms bild est
détecté ce spot récupère en mémoire les
arguments de la ligne de commande
vérifie qu'il s'agit d'une d'un contexte
de compilation dorion et le cas échéant
vérifie que le code source d'orient
passé au compilateur correspond à une
version connue que ce spot c'est
compromettre
si c'est le cas ce spot va remplacer
pendant la compilation 1 des fichiers
sources d'entrée par un fichier source
compromis qui contient le code de
thunder est ainsi la composent la
compilation se déroule en fait de façon
complètement habituel mais les fichiers
entre et de la compilation sans
compromis ça ça peut pas être détectées
au niveau des dépôts de code source
initiaux lorsqu'ils sont pas altérées et
ça peut pas non plus être détectés dans
le binaire finale produit par signature
puisqu'il est effectivement produit par
solarwinds sur un système légitime de
compilation de solar wind et il est donc
signée par solarwinds si on reprend un
peu de hauteur pour s'intéresser
maintenant aux victimes et aux
conséquences alors en premier lieu à
rappel important sur le fait que la
présence de la backdoor sunburst au sein
d'un système ne signifie pas
nécessairement que le système était
ciblé par l'attaquant tout simplement
parce que par construction dans la phase
1
on essaye de déployer la backdoor
sunburst le plus largement possible
il faut ensuite être sélectionné par
l'attaquant pour la phase 2 et même si
on est sélectionné pour la phase 2
ensuite on peut avoir des problèmes de
temps qui font que l'attaquant n'aura
pas vraiment le loisir de mettre en
oeuvre les actions sur ses objectifs
alors si on regarde ses cibles on va
trouver essentiellement des
organisations gouvernementales
américaines et également des
fournisseurs de solutions haïti
américains parmi lesquels des
fournisseurs de solutions de sécurité
une fois
une fois introduit au sein des réseaux
cible l'attaquant il va essayer
d'accéder à des e-mails accéder à des
outils internes et accéder à des codes
sources
là ça ressemble très classiquement à du
recueil de renseignements mais ce que va
aussi faire l'attaquant s'est essayé de
modifier ou créer des relations de
confiance et d identité haïti au sein
des systèmes cibles mais aussi au sein
de de communication inter système ou un
terreau domaine il va également essayer
de d'établir des axes et long terme et
de compromettre des systèmes
d'authentification
et là on n'est moins sûr le recueil de
renseignements que sur une opération qui
ressemble à un pré positionnement et qui
peut être sert en fait à essayer
d'établir des accès à d'autres cibles
par rebond alors sur le plan technique
on passe de la phase 1 la compromission
saunders donc aux actions sur objectifs
grâce au déploiement de codes
malveillants additionnel plutôt
classiques comme tir d'europe ou
raindrop ou récemment seuls jeux tels
qu'on a qu'on a découvert quelques
particularités choisis sur thunder ce
qui est quand même le coeur de cette
attaque sunburst en soit c'est une pièce
assez particulière
d'abord on peut parler de du fait que
c'est un cetain une backdoor qui est
parfaitement intégrée aux produits piégé
de façon très concise
son exécution est provoqué par le
produit légitime lui-même dans un
contexte légitime ensuite thunder s'est
offusqué pour éviter de retrouver un
fichier suspect sur son simple contenu
donc c'est à dire que des chaînes de
caractères qui devraient être contenues
dans ce code sont obscurcies mais
également que le code lui-même est écrit
en reprenant scrupuleusement les
conventions d'écriture du code source
dorion ensuite sunburst il dispose d'un
mécanisme d'activation lente c'est à
dire qu'il va passer entre 12 et 14
jours à ne rien faire avant sa première
tentative de communication et la lidc
certainement de ne pas générer trop
brutalement un ensemble de communication
nouvelle lorsque sunburst et
publiquement déployé chez toutes les
cibles
enfin sunburst met en oeuvre un
protocole de communication type
commandés contrôle assez original on y
reviendra
et finalement on peut évoquer les
mécanismes d'autodéfense de saint just
qui prend grand soin d'évaluer finement
son environnement d'exécution pour
détecter des produits de sécurité et ne
pas poursuivre s'il se sent mal entouré
voilà donc c'est une c'est une pièce une
oeuvre d'art est en tout cas c'est pas
fait par un individu seul dans son
garage sur son temps libre
alors maintenant si on s'intéresse aux
protocoles de communication de façon
très simplifié parce qu'en fait c'est
très con c'est très complexe sunburst
globalement il peut être dans deux
étapes principaux un état passif dans
lequel il va simplement maintenir un
lien avec un serveur de commande et de
contrôle pour savoir si la cible a été
sélectionné et un état actif dans lequel
effectivement une communication va
servir à recevoir des ordres à exécuter
au sein du système cible alors une
petite particularité sur ce protocole
c'est que dans la phase passive
il ya une émission régulière de deux
requêtes dns qui se font vers des noms
dot qui comprennent de façon encoder
bien sûr un identifiant propre à la
victime voire des noms associés au nom
de domaine internet windows de la cible
et grâce à des historisation des dns des
chercheurs comme ceux du great des
casseurs ci et d'autres ont pu
identifier
en fait des systèmes qui avaient
effectivement été vraiment ciblé par
l'attaquant alors au great on sait que
notre expérience que l'étude des
similarités offrent souvent des indices
utiles à l'attribution ou plutôt à la
réfutation de faux nez alors on s'est
naturellement intéressé aux codes de
thunder sts et on a découvert des
similarités notable avec un code qui
s'appelle casual donc quasi heures c'est
une backdoor qui a été qui a été
découverte en 2017 par palo alto et qui
existe et évolue encore depuis 2015
alors des éditeurs américains ont
associé cette backdoor nature là et on a
effectivement retrouvé ce code dans des
attaques impliquant également des outils
de tueur l'a d'abord thunders et casual
partagent une méthode d'activation à
délais longs les codes ne font rien
pendant un temps relativement long pour
un malware qui est assez inhabituel et
surtout il calcule ce délai d'une façon
très similaire
ensuite casual et sunburst exploite tous
deux une technique similaire pour
comparer des chaînes de caractères sans
avoir à les inclure explicitement dans
le code donc ce sont donc des condensats
dh de ces chaînes qui sont manipulés
mais c'est comment ça ils sont faits
avec un algorithme un kiné
pas très commun qui est fmv le calcul de
l'algorithme effet sur 64 bits et il est
fait avec une étape additionnelle qui
n'est pas inclus dans l'algorithme
standard en l'occurrence exor avec une
constante et seul sunburst et casual en
fait partage cette implémentation enfin
casual et thunder zehner tous deux des
identifiants cryptographique pour
désigner leur cible hélas la méthode
employée
basé sur md5 également avec une étape
additionnelle composé d'un corps à une
constante elle est exclusive aux deux
codes donc en conséquence il est très
probable que thunders et casual et en
fait bénéficier d'un développement
commun
mais ça ça peut signifier plusieurs
choses ça peut signifier que thunder ces
cases noires ont été développés par le
même acteur que summers a copié casual
que les acteurs ont sous traité au même
développeur ou qu'un développeur de
casual ensuite migrer vers une autre
équipe qui a déployé thunders il reste
encore une hypothèse qui est celle d'une
introduction volontaire de similarités
dans thunders pour créer un faux nez
mais cette hypothèse elle est très peu
probable en raison des éléments
chronologique dont on dispose qui la
rendent invraisemblable alors le temps
passe et je vais terminer en vous
proposant quelques ouvertures des pistes
de réflexion et des pistes de protection
également d'abord on peut essayer de
conclure sur la taxe solarwinds c'est
très difficile tout simplement parce que
en matière d'effets final recherché
on n'est pas encore en mesure de dire ce
que cela ruine ce que la taxe larrouy
n'avait vocation de faire alors certes
on a des actions qui ressemble à du
recueil de renseignements classique et
en même temps on a des actions qui
ressemble à du pré positionnement ou à
des tentatives de rebond vers d'autres
cibles qu'ils sont à ce jour pas connu
le cas échéant et puis c'est une attaque
qui se déroule dans un contexte un peu
particulier puisque c'est celui de la
transition du pouvoir aux états unis et
en soi l'attak peut avoir aussi une
vocation déstabilisation voire de
dissuasion puisqu'on démontre aux états
unis en l'occurrence qu'on n'est pas
capable de compromettre une grande
partie des organisations
gouvernementales et des géants du
numérique sans être découvert pendant
plus d'un an
ensuite si on parle du ciblage bon bah
c'est un ciblage remarquable dans la
mesure où même s'ils passent par une
compromission de la chaîne
d'approvisionnement il est très précis
et il est très préparé on a à la fin que
des organisations gouvernementales et
des entreprises haïti aux us c'est une
attaque de la chaîne d'approvisionnement
cette fois ci pour de vrai et elles
démontrent la vulnérabilité des systèmes
haïti y compris les plus matures en fait
encore en 2020 ou en 2000 2021 et la
maîtrise difficile des chaînes
d'approvisionnement du modèle haïti
actuel qui repose énormément sur
l'externalisation
le mode opératoire et où les opérateurs
on peut remarquer leur efficacité leur
discrétion
l'importance accordée à la sécurité des
opérations l'attaquant maîtrise de bout
en bout son opération y compris le
moment où il va être découvert dispose
de capacité d'opération et de
développement importantes organisées en
toute rigueur
bref c'est digne d'une opération
militaire quelques pistes pour la
protection et la détection ensuite alors
il ya plein de choses qu'on pourrait
dire autour de cette attaque mais le
point principal c'est que la
vulnérabilité qui permet son existence
les venir habiter qui permet de son
existence sont finalement des
vulnérabilités assez organisationnel la
première c'est la confiance aveugle
qu'on peut faire à un éditeur et un
partenaire de confiance il faut partir
sur le principe sauf dispositions
particulières et vérifier qu'un
composant confiance peut-être compromis
et donc il faut isoler par construction
son périmètre des faits pour éviter qu
une compromission permettent de rebondir
sur l'intégralité du réseau ensuite sur
les serveurs et postes de travail on va
être sur des choses assez classique
puisque finalement on est sur des codes
malveillants
certes sophistiqué et bien conçu mais
qui fonctionne de manière classique
on va s'appuyer sur des fois une
protection et on va s'appuyer sur de la
supervision et de la détection de flux
http https idéalement d'un maîtrise de
flux dns aussi puisqu'ils sont exploités
par sunburst je peux terminer en
évoquant tout simplement l'actif
directory microsoft qui a été
spécifiquement ciblée par l'attaquant
dans le cadre de cette rade cette
attaque en particulier sur ses
composantes modernes comme les contes
type service paint balls en particulier
sur les éléments qui permettent
l'authentification comme les certificats
de signature semelle et on ne dira
jamais assez la supervision et la
protection de l'activité directory est
critique pour pouvoir résister
et à la majorité des attaques
informatiques et je termine ici en
laissant place si on a aux questions
merci beaucoup
pierre en tout cas un sujet qui a fait
couler beaucoup beaucoup d'encre et qui
justement nos amis partenaires raffolent
de plein de questions je sais pas si on
va pouvoir répondra à tous en tout cas
la première c'est
a t'on identifier des cibles ailleurs
qu'aux états unis
alors j'ai fait tout à l'heure la
distinction entre l'existence la
découverte du code thunder sur un
système et le ciblage par les attaquants
d'un système sont deux choses bien
différentes
à notre connaissance aujourd'hui on a
effectivement identifié la présence de
thunder sur d'autres systèmes que des
systèmes américains mais on n'a pas pu
déterminer que des systèmes avaient été
ciblés en dehors des systèmes américains
évoqué tout à l'heure donc des
organisations gouvernementales et des
prestataires de solutions a dit votre
question qu'est ce que les états unis
vont avoir comme réponse à cette attaque
alors les etats unis du fait que cette
attaque se déroule aussi pendant une
passation de pouvoir
on crée une forte attente envers la
réaction des états unis et bayonne avait
déjà indiqué dès décembre avant même que
donc le président sortant s'exprime qui
prendrait des mesures contre cette
attaque et des mesures qu'on imagine
tourner autour de la sanction économique
évidemment mais peut-être aussi de sorte
de représailles qui prendrait la forme
d'acte plus discret qui serait pas
forcément connus du grand public et qui
serait jamais révélés mais surtout on
peut imaginer que cette attaque va
suscité de nombreux débats au sein de
l'organisation de la cybersécurité
américaines à commencer par la
réglementation qui s'impose aux
entreprises américaines et qui
permettrait peut-être finalement de
mieux couvrir les cas d' attaques de la
chaîne d'approvisionnement
une autre question on a pu lire dans la
presse que cette attaque était attribuée
par des agences américaines au groupe a
pété 29 est ce que vous faites la même
conclusion
alors on fait pas la même conclusion
tout simplement parce que les éléments
qu'on a pu obtenir par notre propre
analyse et qui sont basées
essentiellement sur le sur l'analyse du
code sunburst met en avant des
similarités avec un code qui n'est pas
connu comme utiliser ou exploités par à
péter 29 et donc on n'a aucun élément
aujourd'hui nous qui nous permettrait
d'associer cette attaque a arrêté 29
il me semble que c'est tout un petit
dernier mot peut-être conclusion faut
finir pas de conclusions pour finir mais
ce qui est important de retenir sur
cette attaque c'est que bon elle s'est
déroulée pendant un an et trois mois
avant qu'on la découvre on peut imaginer
que les travaux d'analysé même si de
très nombreux ont déjà été faits vont se
poursuivre et nous permettront d'obtenir
des éléments nouveaux encore dans les
mois et les années qui viennent
c'est le cas puisque la semaine dernière
on a découvert encore un autre outil
exploité en face d'eux par les
attaquants et qu'on comprendra la portée
réelle de cette attaque probablement que
dans plusieurs mois ou plusieurs années
voilà très bien merci beaucoup aux
pierres c'est très clair
