Si l’attaque contre SolarWinds — et par extension, contre le gouvernement américain — est attribuée à un groupe de hackers lié à la Russie, l’identité exacte de ce groupe reste à déterminer. Comme le remarque le Bleeping Computer, chaque entreprise qui enquête sur l’affaire utilise un nom différent pour parler des hackers, même si tous restent dans le champ lexical de l’espace : CrowdStrike parle de « StellarParticle », Volexity de « Dark Halo », Palo Alto Unit 42 de « SolarStorm ». Tous, sauf une entreprise, FireEye, qui réfère au groupe par le code « UNC2452 ».

Justement, FireEye a publié le 4 mars un rapport sur un nouveau malware, baptisé Sunshuttle (encore une référence au Soleil et à l’espace), qu’il avait commencé à analyser en août 2020. L’entreprise, en première ligne de l’affaire SolarWinds, écrit dans son rapport : « Mandiant [une des équipes de recherche de FireEye, ndlr] a observé Sunshuttle chez une victime compromise par UNC2452, et a obtenu des éléments qui indiquent qu’il est lié à UNC2452, mais nous n’avons pas entièrement vérifié cette connexion ».

Les hackers de SolarWinds ont au moins 5 malwares exclusifs dans leur arsenal

Sunburst a été nommé par l’entreprise de cybersécurité FireEye, première victime déclarée. // Source : CCO/Wikimedia

Sunshuttle est une « porte dérobée sophistiquée », qui permet d’ouvrir discrètement un accès aux hackers sur le réseau de la victime. Sa finalité n’est pas sans rappeler celle de Sunburst, le cheval de Troie déployé chez les clients de SolarWinds. Même si techniquement elle ne lui ressemble pas, elle aurait pourtant les mêmes créateurs. Comme pour Sunburst, FireEye insiste sur la qualité et « l’élégance » des moyens utilisés par les développeurs pour dissimuler le malware et le faire passer au travers des outils de détection.

Cinq malwares attribués aux hackers de SolarWinds

Sunshuttle n’est que le cinquième malware attribué aux hackers de SolarWinds, et surtout le premier qui n’est (à ce stade des enquêtes) pas impliqué dans l’attaque. Pour rappel, voici les quatre autres :

  • Le premier malware, nommé Sunburst par FireEye et Solarigate par Microsoft, est au centre de l’affaire SolarWinds. C’est le cheval de Troie dissimulé dans le logiciel Orion, qui a ouvert des portes dérobées chez les clients de l’entreprise, que les hackers ont ensuite emprunté pour voler des informations.
  • Le second, Sunspot, a été découvert plus tard par Crowdstrike. C’était le premier malware à intervenir dans la chaîne de l’attaque. Il a injecté une porte dérobée dans le moteur de production d’Orion, c’est-à-dire le serveur en charge de ses mises à jour, pour que les hackers puissent y déposer le code nécessaire au déploiement de Sunburst.
  • Le troisième, Teardrop a aussi été découvert par FireEye, et il va de pair avec Sunburst. Son rôle était de déployer des balises sur le réseau de la victime afin de recevoir des commandes à distance de la part des hackers.
  • Le quatrième malware, Raindrop, mis en lumière par Symantec, avait une fonctionnalité similaire à Teardrop, d’où la proximité entre les deux noms.

La découverte de ces malwares permet de créer au fur et à mesure un portrait-robot des hackers de SolarWinds, et d’analyser leurs habitudes. Mais pour découvrir leur identité, il faudra se montrer patient.