Le deuxième malware Solarwinds d’origine chinoise

Alors que plusieurs enquêtes avaient identifié l’existence d’un deuxième malware appelé Supernova, voici que les résultats de recherche d’une entreprise de cybersécurité l’attribuent à une organisation chinoise.

On l’avait presque oublié. Supernova, un deuxième malware au sein d’Orion d’abord identifié par les équipes de Google en décembre dernier, donne une tournure à l’affaire Solorigate toujours plus géopolitique. Après la Russie, responsable désigné par les États-Unis pour le malware Sunburst, voici que la Chine y aurait également pris part.

Supernova, un web shell .NET également infiltré dans l’application Orion, proviendrait d’un espion d’origine chinoise appelé Spiral, ont révélé les résultats de recherche de SecureWorks, une entreprise de cybersécurité américaine, dans un article de blog publié le 8 mars 2021.

Les deux attaques sur Orion ne sont pas reliées selon les conclusions de SecureWorks.

Plus de 1000 ingénieurs derrière l’attaque

Spiral aurait exploité une vulnérabilité d’identification API (intitulée CVE-2020-10148) chez Orion pour exécuter un script de reconnaissance et implanté Supernova.

Bien que les web shells en .NET soient relativement communs, celui utilisé dans le cadre de Supernova témoigne d’un grand niveau de sophistication, ont écrit les chercheurs de Unit 42, un laboratoire rattaché à Palo Alto Networks, dans un article, le 17 décembre 2020.

Dans une interview pour la chaîne américaine CBS, le directeur de Microsoft Brad Smith avait estimé que plus de 1000 ingénieurs étaient derrière l’attaque de SolarWinds, la qualifiant de la « plus sophistiquée et importante que le monde ait jamais vu ».