Parallèlement à leurs propres investigations, les chercheurs d’ExtraHop ont aidé certains clients à détecter et corriger l’exploit SUNBURST. Ils ont ainsi découvert que les activités potentiellement malveillantes avaient augmenté d’environ 150 % entre fin mars 2020 et début octobre 2020. Déplacement latéral, escalade de privilèges, connexion à un serveur de commande et contrôle... quelle que soit la technique utilisée, les attaquants ont réussi à échapper aux méthodes de détection classiques telles que les solutions de détection et de réponse sur les terminaux (EDR) et les antivirus. Selon les schémas d’activité décrits dans le rapport, il semblerait que les cybercriminels à l’origine de SUNBURST aient réussi à déjouer les systèmes de détection en les désactivant ou en changeant d’approche avant de pouvoir être repérés.

« Nos investigations ont démontré que des activités réseau suspectes avaient bien été détectées, indique Jeff Costlow, RSSI adjoint chez ExtraHop. Mais comme elles n’ont fait l’objet d’aucune alerte de la part des autres systèmes de détection, elles ont été en grande partie ignorées. En l’occurrence, l’attaque avait été spécifiquement pensée dans cette optique. On peut donc s’attendre à de nouvelles attaques de ce genre. Si l’on devait en tirer une seule leçon, c’est que le réseau ne ment jamais. »

Le rapport ne se contente pas de lever le voile sur la stratégie adoptée par les auteurs de l’attaque SUNBURST pour opérer pendant si longtemps sans éveiller les soupçons. Il revient également sur les cas de plusieurs clients d’ExtraHop qui sont parvenus à détecter et neutraliser l’exploit dans leurs environnements respectifs. Ces études de cas apportent un éclairage pointu sur la façon dont les indicateurs historiques ont permis de déterminer la durée de la compromission et d’identifier les systèmes et données susceptibles d’avoir été affectés.