Selon un récent rapport, Gregory Kucherin, Igor Kuznetsov et Costin Raiu, trois chercheurs de la société de sécurité Kaspersky Lab ont déclaré que : « le logiciel malveillant introduit par le biais de SolarWinds a des liens étranges avec des groupes de pirates informatiques russophones ». Les recherches menées par ces spécialistes en cybersécurité pourraient confirmer les inquiétudes soulevées par le FBI et la CISA.

L’attaque contre SolarWinds a-t-elle été orchestrée par la Russie ?

Les chercheurs de Kaspersky Lab sont catégoriques, le logiciel malveillant récemment découvert dans le piratage de SolarWinds a des « similitudes évidentes » avec d’autres logiciels malveillants d’origine russes, qui circulent depuis au moins 2015. Le procédé n’est pas nouveau. Les hackers ont pénétré les systèmes de sécurité de SolarWinds pour installer d’autres logiciels malveillants qui se sont ensuite infiltrés à leur tour au sein des logiciels de plusieurs entreprises et agences gouvernementales américaines.

Pour les spécialistes en cybersécurité, ce piratage est certainement l’un des pires de l’histoire moderne des États-Unis. Les chercheurs ont notamment remarqué des similitudes entre Sunburst, le nom donné au logiciel malveillant qui a pénétré les réseaux de SolarWinds et Kazuar, un autre logiciel malveillant apparu pour la première fois en 2017. Il se trouve que Kazuar a été utilisé par Turla, l’un des groupes de hackers les plus « réputés » à travers le monde, dont les membres parlent couramment le russe.

D’étranges similitudes entre Sunburst et Kazuar

Pour être tout à fait précis, les chercheurs ont détecté trois similitudes dans le code et les fonctionnalités de Sunburst (le malware qui a infecté SolarWinds) et Kazuar. Ces similitudes sont les suivantes :

  • L’algorithme utilisé pour générer des identifiants uniques
  • L’algorithme utilisé pour rendre invisible le logiciel malveillant
  • L’algorithme FNV-1a qui a permis d’obscurcir le code

Comme le soulignent les chercheurs : « aucun de ces éléments n’est identique à 100%, néanmoins, ce sont de curieuses coïncidences, c’est le moins qu’on puisse dire. Une coïncidence ne serait pas si inhabituelle, deux coïncidences feraient définitivement sourciller, tandis que trois coïncidences de ce type nous semblent plutôt suspectes ».

Cette conclusion pourrait signifier que le logiciel malveillant introduit dans les logiciels de SolarWinds aurait été pensé par les mêmes développeurs qui ont travaillé sur Kazuar. Les chercheurs n’excluent pas le fait qu’il pourrait également s’agir d’une tentative pour tromper les enquêteurs.

Le Kaspersky Lab préfère rester prudent : « pour l’instant, nous ne savons pas ce qu’il s’est passé. Bien que Kazuar et Sunburst semblent avoir des liens très étroits, la nature de cette relation n’est toujours pas claire. Une analyse plus approfondie permettra certainement d’apporter des preuves plus factuelles ». La cyberattaque est certainement toujours en cours et les chercheurs savent pertinemment qu’il faudra des mois, peut-être même des années, pour comprendre l’impact de cette campagne de piratage.