Mais cela ne faisait que 24 heures qu’ils y étaient quand ils ont trouvé le passage qu’ils cherchaient : un seul fichier qui semblait être responsable du trafic voyou. Carmakal pense que c’était le 11 décembre qu’ils l’ont trouvé.
Le fichier était un .dll, ou une bibliothèque de liens dynamiques, des composants de code partagés par d’autres programmes. Cette .dll était volumineuse, contenant environ 46 000 lignes de code qui exécutaient plus de 4 000 actions légitimes et, comme ils l’ont découvert après l’avoir analysée pendant une heure, une illégitime.
Le travail principal du fichier .dll consistait à informer SolarWinds de l’utilisation d’Orion par un client. Mais les pirates avaient intégré un code malveillant qui lui faisait transmettre des informations sur le réseau de la victime à leur serveur de commande à la place. Ballenthin a surnommé le code voyou “Sunburst” – une pièce de théâtre sur SolarWinds. Ils étaient ravis de la découverte. Mais maintenant, ils devaient comprendre comment les intrus l’avaient glissé dans le .dll d’Orion.
C’était loin d’être anodin. Le fichier Orion .dll a été signé avec un certificat numérique SolarWinds, qui était censé vérifier que le fichier était un code d’entreprise légitime. Une possibilité était que les attaquants aient volé le certificat numérique, créé une version corrompue du fichier Orion, signé le fichier pour le rendre authentique, puis installé le fichier .dll corrompu sur le serveur de Mandiant. Ou, plus alarmant, ils pourraient avoir violé le réseau de SolarWinds et modifié le code source légitime d’Orion .dll avant que SolarWinds ne le compile – en convertissant le code en logiciel – et ne le signe. Le deuxième scénario semblait si farfelu que l’équipe de Mandiant ne l’a pas vraiment envisagé, jusqu’à ce qu’un enquêteur télécharge une mise à jour du logiciel Orion sur le site Web de SolarWinds. La porte dérobée était dedans.
L’implication était stupéfiante. La suite logicielle Orion comptait environ 33 000 clients, dont certains avaient commencé à recevoir la mise à jour logicielle piratée en mars. Cela signifiait que certains clients étaient peut-être déjà compromis depuis huit mois. L’équipe de Mandiant était confrontée à un exemple classique d’attaque de la chaîne d’approvisionnement logicielle : l’altération néfaste d’un logiciel de confiance à sa source. D’un seul coup, les attaquants peuvent infecter des milliers, voire des millions, de machines.
En 2017, des pirates avaient saboté une chaîne d’approvisionnement en logiciels et distribué des logiciels malveillants à plus de 2 millions d’utilisateurs en compromettant l’outil de nettoyage de la sécurité informatique CCleaner. Cette même année, la Russie a distribué le ver malveillant NotPetya dans une mise à jour logicielle à l’équivalent ukrainien de TurboTax, qui s’est ensuite propagé dans le monde entier. Peu de temps après, les pirates chinois ont également utilisé une mise à jour logicielle pour ouvrir une porte dérobée à des milliers de clients Asus. Même à ce stade précoce de l’enquête, l’équipe de Mandiant pouvait dire qu’aucune de ces autres attaques ne rivaliserait avec la campagne SolarWinds.
SolarWinds rejoint la chasse
c’était un Samedi matin, 12 décembre, lorsque Mandia a appelé le président-directeur général de SolarWinds sur son téléphone portable. Kevin Thompson, un vétéran de 14 ans de la société texane, quittait son poste de PDG à la fin du mois. Ce qu’il était sur le point d’apprendre de Mandia – qu’Orion était infecté – était une sacrée façon de conclure son mandat. “Nous rendrons cela public dans 24 heures”, a déclaré Mandia. Il a promis de donner à SolarWinds une chance de publier une annonce en premier, mais le calendrier n’était pas négociable. Ce que Mandia n’a pas mentionné, c’est qu’il subissait lui-même des pressions extérieures : un journaliste avait été informé de la porte dérobée et avait contacté son entreprise pour le confirmer. Mandia s’attendait à ce que l’histoire éclate dimanche soir, et il voulait prendre de l’avance.
Thompson a commencé à passer des appels, l’un des premiers à Tim Brown, responsable de l’architecture de sécurité chez SolarWinds. Brown et son équipe ont rapidement confirmé la présence de la porte dérobée Sunburst dans les mises à jour logicielles d’Orion et ont découvert, avec inquiétude, qu’elle avait été livrée à pas moins de 18 000 clients depuis le printemps 2020. (Tous les utilisateurs d’Orion ne l’avaient pas téléchargé.) Thompson et d’autres ont passé la majeure partie du samedi à rassembler frénétiquement des équipes pour superviser les défis techniques, juridiques et publicitaires auxquels ils étaient confrontés. Ils ont également appelé le conseiller juridique externe de la société, DLA Piper, pour superviser l’enquête sur la violation. Ron Plesco, avocat chez Piper et ancien procureur spécialisé en médecine légale, était dans son jardin avec des amis lorsqu’il a reçu l’appel vers 22 heures.