Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ExtraHop a observé une augmentation de 150 % des activités réseau suspectes au plus fort de l’attaque SUNBURST

février 2021 par ExtraHop

ExtraHop publie un rapport de sécurité passant au crible les méthodes utilisées par les cybercriminels pour opérer incognito avant la découverte de l’exploit SUNBURST. Dans cette publication, l’entreprise révèle avoir constaté une augmentation significative des activités réseau suspectes, qui malgré tout n’ont éveillé aucun soupçon en raison des privilèges et du statut de confiance de SolarWinds sur le réseau. Elle dresse également une liste élargie de plus de 1 700 indicateurs de compromission (IoC) observés dans les environnements visés par l’attaque et protégés par Reveal(x). Ces informations pourront se révéler essentielles pour les organisations qui cherchent à déterminer si et dans quelle mesure elles ont été affectées.

Parallèlement à leurs propres investigations, les chercheurs d’ExtraHop ont aidé certains clients à détecter et corriger l’exploit SUNBURST. Ils ont ainsi découvert que les activités potentiellement malveillantes avaient augmenté d’environ 150 % entre fin mars 2020 et début octobre 2020. Déplacement latéral, escalade de privilèges, connexion à un serveur de commande et contrôle... quelle que soit la technique utilisée, les attaquants ont réussi à échapper aux méthodes de détection classiques telles que les solutions de détection et de réponse sur les terminaux (EDR) et les antivirus. Selon les schémas d’activité décrits dans le rapport, il semblerait que les cybercriminels à l’origine de SUNBURST aient réussi à déjouer les systèmes de détection en les désactivant ou en changeant d’approche avant de pouvoir être repérés.

« Nos investigations ont démontré que des activités réseau suspectes avaient bien été détectées, indique Jeff Costlow, RSSI adjoint chez ExtraHop. Mais comme elles n’ont fait l’objet d’aucune alerte de la part des autres systèmes de détection, elles ont été en grande partie ignorées. En l’occurrence, l’attaque avait été spécifiquement pensée dans cette optique. On peut donc s’attendre à de nouvelles attaques de ce genre. Si l’on devait en tirer une seule leçon, c’est que le réseau ne ment jamais. »

Le rapport ne se contente pas de lever le voile sur la stratégie adoptée par les auteurs de l’attaque SUNBURST pour opérer pendant si longtemps sans éveiller les soupçons. Il revient également sur les cas de plusieurs clients d’ExtraHop qui sont parvenus à détecter et neutraliser l’exploit dans leurs environnements respectifs. Ces études de cas apportent un éclairage pointu sur la façon dont les indicateurs historiques ont permis de déterminer la durée de la compromission et d’identifier les systèmes et données susceptibles d’avoir été affectés.




Voir les articles précédents

    

Voir les articles suivants