Chaque jour apporte son lot de surprises. A en croire Microsoft, le groupe APT29, alias Cozy Bear, lié aux services secrets russes, à qui on attribue l’installation d’une porte dérobée dans la plateforme Orion de SolarWinds, ne serait pas le seul à avoir agi de la sorte. L’équipe de recherche Microsoft 365 Defender signale en effet sur son blog qu’un « acteur de la menace différent » aurait lui aussi installé un logiciel malveillant.
« (Notre) enquête sur l’ensemble du fichier compromis dans SolarWinds a conduit à la découverte d’un malware supplémentaire qui affecte également le produit SolarWinds Orion mais qui a été déterminé comme probablement sans rapport avec ce fichier compromis et utilisé par un autre acteur de la menace. Le malware se compose d’une petite porte dérobée persistante sous la forme d’un fichier DLL nommé App_Web_logoimagehandler.ashx.b6031896.dll , programmé pour permettre l’exécution de code à distance via le serveur d’applications Web SolarWinds lorsqu’il est installé dans le dossier «inetpub \ SolarWinds \ bin \» . Contrairement à Solorigate (ndlr : nom de code pour le fichier attribué à APT29), cette DLL malveillante n’a pas de signature numérique, ce qui suggère que cela n’est peut-être pas lié à la compromission de la chaîne d’approvisionnement. Néanmoins, la DLL infectée ne contient qu’une seule méthode (nommée DynamicRun), qui peut recevoir un script C # à partir d’une requête Web, le compiler à la volée et l’exécuter », peut-on lire. On ne sait malheureusement pas qui se cache derrière cette porte dérobée.
Nos confrères de CRN, qui rapportent l’information, ont contacté Microsoft pour obtenir un rapport complet sur cette découverte mais n’ont pas reçu de réponse. De son côté, le Wall Street Journal ajoute de nouveau noms à la liste des entreprises touchées par ce que la firme de Redmond appelle donc Solorigate : Intel, Nvidia, Belkin International et Deloitte Consulting. A suivre.