Le 13 d\u00e9cembre dernier, FireEye, Microsoft et SolarWinds d\u00e9couvraient dans leurs r\u00e9seaux informatiques une attaque sophistiqu\u00e9e ciblant leur cha\u00eene logistique. Cette attaque d\u00e9ployait alors un nouveau malware, jusqu’ici inconnu, \u00ab Sunburst\u00bb, utilis\u00e9 contre les clients informatiques d\u2019Orion de SolarWinds. Les experts de Kaspersky ont trouv\u00e9 diverses similitudes de code sp\u00e9cifiques entre Sunburst et des versions connues de la porte d\u00e9rob\u00e9e (backdoor) Kazuar – un type de malware qui permet d’acc\u00e9der et de commander \u00e0 distance la machine d’une victime. Ces nouvelles d\u00e9couvertes donnent des informations suppl\u00e9mentaires aux chercheurs, toujours en cours d\u2019enqu\u00eate sur l’attaque.<\/p>\n
En \u00e9tudiant la porte d\u00e9rob\u00e9e Sunburst, les experts de Kaspersky ont trouv\u00e9 de nombreux points communs avec l\u2019attaque de m\u00eame type, identifi\u00e9e pr\u00e9c\u00e9demment, Kazuar, une backdoor d\u00e9velopp\u00e9e utilisant la structure .NET et signal\u00e9e pour la premi\u00e8re fois par Palo Alto en 2017. Elle est depuis utilis\u00e9e dans diverses campagnes de cyber-espionnage \u00e0 travers le monde. Les multiples similitudes de code sugg\u00e8rent un lien entre Kazuar et Sunburst, bien que la nature de celui-ci reste ind\u00e9termin\u00e9e.<\/p>\n
Les similitudes entre Sunburst et Kazuar comprennent notamment l’algorithme de g\u00e9n\u00e9ration de l\u2019identifiant utilisateur (UID) de la victime, l’algorithme de veille et l’utilisation extensive du hachage FNV-1a, une fonctionnalit\u00e9 simple, permettant notamment d\u2019obscurcir les comparaisons de cha\u00eenes de caract\u00e8res. Selon les experts, ces fragments de code ne sont pas identiques \u00e0 100%, ce qui sugg\u00e8re que Kazuar et Sunburst sont li\u00e9s, m\u00eame si lesdits liens ne sont pas encore tout \u00e0 fait clairs.<\/p>\n
Apr\u00e8s le premier d\u00e9ploiement du malware Sunburst, en f\u00e9vrier 2020, Kazuar a continu\u00e9 \u00e0 \u00e9voluer et les variantes ont encore plus de points communs avec celles analys\u00e9es \u00e0 partir des \u00e9chantillons de Sunburst.<\/p>\n
Dans l’ensemble, les experts ont observ\u00e9, dans les diff\u00e9rentes mutations de Kazuar des caract\u00e9ristiques sp\u00e9cifiques ayant des similarit\u00e9s avec des \u00e9chantillons de Sunburst.<\/p>\n
\u00ab Les liens identifi\u00e9s ne r\u00e9v\u00e8lent pas qui \u00e9tait derri\u00e8re l’attaque de SolarWinds, mais ils fournissent davantage d’informations aidant les chercheurs \u00e0 avancer dans leur enqu\u00eate. Nous pensons qu’il est important que d’autres experts \u00e9tudient ces similitudes et tentent d\u2019en savoir davantage sur Kazuar et l’origine de Sunburst, le malware utilis\u00e9 dans l’attaque de SolarWinds. Avec le recul d\u2019exp\u00e9riences pass\u00e9es comparables, si l’on se penche par exemple sur l’attaque de WannaCry, nous n\u2019avions que peu de donn\u00e9es permettant de le relier au groupe Lazarus au d\u00e9but de l\u2019enqu\u00eate. Avec le temps, nous avons trouv\u00e9 de nouvelles preuves qui nous ont permis, ainsi qu’\u00e0 d’autres, d\u2019identifier, avec certitude, l\u2019origine de l\u2019attaque. Il est donc crucial de poursuivre les recherches autour de cette attaque. \u00bb, commente Costin Raiu, directeur du GReAT chez Kaspersky.<\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Le 13 d\u00e9cembre dernier, FireEye, Microsoft et SolarWinds d\u00e9couvraient dans leurs r\u00e9seaux informatiques une attaque sophistiqu\u00e9e ciblant leur cha\u00eene logistique. Cette attaque d\u00e9ployait alors un nouveau malware, jusqu’ici inconnu, \u00ab…<\/p>\n","protected":false},"author":60,"featured_media":118051,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_lmt_disableupdate":"","_lmt_disable":"","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-201723","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"yoast_head":"\n