Microsoft a révélé ce jeudi avoir découvert le malware Sunburst sur ses serveurs. Cette annonce survient alors que la firme a participé à créer un « kill switch » qui désactive Sunburst à distance sur tous les appareils infectés.
Les rebondissements dans la vague actuelle de cyberattaques se poursuivent. La dernière victime en date est nul autre que Microsoft. Pour rappel, un groupe, suspecté d’être APT29 à la solde du gouvernement russe, est parvenu à infecter une mise à jour du logiciel Orion de SolarWinds. Plus de 18.000 entreprises seraient affectées, sur les 33.000 utilisateurs d’Orion.
Microsoft a travaillé avec GoDaddy, ainsi que FireEye, l’entreprise de cybersécurité qui a repéré l’attaque, pour créer un « kill switch » afin de bloquer l’attaque. Le malware, baptisé Sunburst, se connecte au serveur de commande et de contrôle sur un sous-domaine de avsvmcloud.com. Ce domaine a été redirigé vers les serveurs de Microsoft. Le malware ne peut donc plus recevoir de commandes. La solution est d’autant plus efficace que Sunburst a été programmé pour se désactiver en cas de connexion à certaines adresses IP, dont celles de Microsoft, afin d’éviter d’être découvert.
Les serveurs de Microsoft également infectés
Après l’annonce de la mise en place du kill switch pour arrêter Sunburst, Microsoft qui compte parmi les utilisateurs du logiciel Orion a déclaré ce jeudi avoir découvert le malware sur ses propres serveurs. Les services cloud Microsoft Azure ont notamment été visés. Toutefois, Microsoft a précisé n’avoir trouvé aucune indication que les hackers avaient accédé aux données des clients ou que leurs systèmes avaient été utilisés pour lancer d’autres attaques.
Grâce au kill switch, le malware devrait être désactivé sur tous les appareils déjà infectés. Cependant, ceci ne signifie pas pour autant que la vague d’attaques est terminée. Le groupe à l’origine du malware a pu accéder aux systèmes et implanter d’autres programmes, plus difficiles à détecter et à éradiquer. L’affaire est donc sans doute loin d’être terminée.
Edward Back
Journaliste hi-tech
Publié le 20/12/2020
Source : https://www.futura-sciences.com/tech/actualites/cybersecurite-microsoft-victime-enorme-vague-cyberattaques-84632/