Selon les experts, l’attaque contre les services logistiques a été conçue de manière professionnelle, avec un objectif clair : rester indétectable le plus longtemps possible. Par exemple, avant d’établir la première connexion Internet aux serveurs de communication et de contrôle, le malware Sunburst reste en sommeil pendant une longue période, qui peut s’étendre jusqu’à deux semaines, ce qui empêche sa détection par des analyses de sandbox, raison pour laquelle cette attaque a été si difficile à repérer.

Dans les premières phases, le Sunburst communique avec le serveur C&C en envoyant des requêtes DNS (Domain Name System) encodées. Ces demandes contiennent des informations sur l’ordinateur infecté, afin de renseigner l’attaquant sur l’intérêt, ou non, de développer le virus.

En capitalisant sur le fait que les requêtes DNS générées par le Sunburst encodent certaines des informations de l’ordinateur de la victime, et en utilisant les scripts disponibles publiquement pour décoder les requêtes DNS, les chercheurs de Kaspersky ont créé leurs propres outils pour analyser plus en détail plus de 1700 enregistrements DNS, impliqués dans l’incident. Cela a permis d’identifier plus de 1000 éléments de noms de cibles uniques et plus de 900 identifiants liés à des utilisateurs uniques. Bien que ce nombre puisse paraître important, il semble que les attaquants ne se soient intéressés qu’à des cibles de grande valeur pour eux. Sur plus de 1000 noms de cibles, deux d’entre eux semblaient être spéciaux et difficiles à décoder, et prenaient la forme d’une sorte de puzzle cryptographique.

L’analyse a révélé que trois des demandes DNS « spéciales » qui ont reçu des réponses « CNAME », indiquant une cible de grande valeur, peuvent être rattachées à deux noms de domaine qui appartiennent à une organisation gouvernementale et à une société de télécommunications basée aux États-Unis.

Pour des raisons éthiques, Kaspersky ne divulguera pas ici ces noms de domaine exacts. La société a déjà averti les deux organisations, offrant son soutien pour découvrir d’autres activités malveillantes, si nécessaire.

« Ces derniers jours, nous avons vérifié nos propres télémétries afin de détecter des signes de cette attaque, à mettre en place des systèmes de détection supplémentaires et à nous assurer que nos utilisateurs sont protégés. À l’heure actuelle, nous avons identifié environ 100 clients qui ont téléchargé le fichier contenant la porte dérobée Sunburst. Une enquête plus approfondie est en cours, et nous continuerons à mettre à jour nos conclusions », commente Costin Raiu, chef de l’équipe de recherche et d’analyse globale (GReAT) de Kaspersky.