Solarwinds : les mesures de sécurité IMS Networks

Malware dormant dans Solarwinds Orion

Dévoilé le 13/12 après la découverte de la compromission par FireEye, un cheval de Troie infecte toutes les applications Orion depuis Mars 2020, afin de gagner l'accès à des systèmes, notamment des administrations américaines (sécurité, défense, santé, trésor…).
SolarWinds estime qu'au moins 18 000 utilisateurs ont installé les mises à jour infectées, et sont donc probablement eux-mêmes infectés par SUNBURST (également appelé Solorigate).
Celui-ci, après une période dormante de 12 à 14 jours, tente de joindre le domaine avsvmcloud[.]com, qui lui transmet les coordonnées d'un serveur de command and control (C2) permettant de recevoir plus d'instructions sur les actions à réaliser.

Une coalition d'entreprises du secteur technologique (dont Microsoft, FireEye et GoDaddy) a saisi ce domaine qui jouait un rôle central dans ce système afin de bloquer les attaquants et de prévenir les victimes compromises.

Une défense en profondeur efficace pour les clients d'IMS Networks

Bonne nouvelle toutefois, les mesures de sécurité et l’architecture réseau et applicative mise en place chez IMS Networks dans le cadre du SMSI ont permis de bloquer les tentatives de communication entre les serveurs infectés et les C2, permettant une défense en profondeur efficace pour nous comme pour nos clients supervisés.
D'après THeHackerNews la compromission du code aurait débuté en Octobre 2019, une sorte de répétition générale avant l'introduction définitive du cheval de Troie en Mars 2020.

Cela souligne l'importance de contrôler la chaîne d'approvisionnement, pas seulement pour le matériel ou les services mais également pour le logiciel, fût-il leader du marché.