Aladdin, Solarwinds, Sunburst

Présentation diapo de Davy http://oomo.ovh/2832 sur Alladin et Solarwind recopié ici

Sur Solarwinds

Du non-crash à Solarwinds - Slide présenté lors de la réunion de Barcelone, mai 2024.

0/20

Attaque Solarwinds

Ce qu'on sait de la cyberattaque la plus sophistiquée de l'histoire »

Note :

Il y a de nombreux points à approfondir.

Ici nous n'avons même pas encore fait le lien avec les affaires du trading à haute-fréquence du "Flashcrash", et de "50 cents". Le premier cas pouvait avoir été la raison pour laquelle ils disent s'être opposés "pour la deuxième fois" à un effondrement économique.

Quant à "50 cents" il s'agit d'un autre cas de trading algorithmique, qui démontre une puissance de calcul qui a abouti à un résultat d'une très grande simplicité pour "hacker" les marchés.

Il reste aussi établir si l'apparition du terme "Sunburst" sur Twitter était antécédent à celui des chercheurs qui ont nettoyé "un par un" tous les fichiers, et qui semblent l'avoir découvert six mois après.

Le lien entre le non-crash et Solarwinds est juste que le second est apparu quand le premier semblait arrivé à son point de rupture imminente. Mais cela n'a pas eu lieu. Simplement, les acteurs qui contrôlent le déclenchement des récoltes (qui implique un arrêt du réinvestissement) ont eu à se poser la question, et l'occasion d'y "réfléchir à deux fois".

Sans compter que l'ensemble des petits secrets stockés "en lieu sûr" venaient d'être vus. Cela a pu être le cas du terme "Sadisfaction", probablement capté sur un échange par mail, qui signifie "tristesse d'avoir terminé un projet sur lequel on a longtemps travaillé", et à la fois "Exécution !".

Selon les personnes présentes à la conférence, il faut aussi tenir compte de la mort du leader du clan des Stepfather qui a encore plus dissipé la motivation de tout faire s'effondrer.

De toutes manières les pays du sud + Eurasie étaient déjà déterminés à commercer sans utiliser le dollar.

L'important est que le non-crash a surtout eu pour effet de démontrer que les dés sont pipés, raison pour laquelle le "100% de chances qu'un crash économique arrive" est logiquement faux. Il s'agit en fait d'une simple démonstration. Dès lors il ne s'agit plus d'une économie de marché, mais d'un "truc" [le système] qui fait comme il veut tant que ça arrange les possédants.

La conclusion finale, à laquelle sont arrivés les personnes présentes, c'est que "100% de certitude que le crash va avoir lieu" n'est pas incompatible avec une des interventions U qui a eu pour effet de leur provoquer une grande frayeur, dans la mesure où l'affaire a facilement été portée à la connaissance du grand public. D'où le fait qu'ensuite les U disent "on espère qu'ils y réfléchiront à deux fois".

Les différents termes employés, Sunburst, avec Solarwinds et d'autres, font référence à "levez les yeux au ciel", comme pour dire sa déception, et à la fois la provenance du hack.

La question qui reste alors est, devant l'angoisse résiduelle, ou la défiance, est de savoir pourquoi ils ne l'ont pas dit clairement pour se défendre. Mais aussi, que l'affaire n'était pas terminée, qu'un tel événement pouvait toujours avoir lieu.

1/20

Commentaires d'experts

« Il nous est apparu très clairement que nous avions affaire à un adversaire très compétent, très clandestin et très avancé » M. Carmakal, Microsoft
« L'acteur inconnu de la menace volait des informations d'identification et se déplaçait dans les réseaux sans être détecté »
« On a eu l'impression que cet attaquant pouvait s'introduire dans des centaines de réseaux de clients, très profondément, avec des droits élevés. » John Lambert, Directeur sécurité Microsoft
« L'adversaire a fait preuve de discipline en isolant tous les indicateurs techniques susceptibles de révéler sa présence »

2/20 Qu'est-ce que solarwinds ?

SolarWinds fournit des solutions de gestion et de supervision de leurs réseaux informatiques à de nombreuses institutions publiques et grosses entreprises internationales.

3/20 Que sait-on de l'attaque ?

Dévoilée le 13 décembre 2019 18 000 clients touchés, parmi lesquels figurent plusieurs entreprises du CAC 40 (425 des 500 entreprises américaines avec le plus grand CA) et plusieurs sites de ministères du gouvernement fédéral américain. Risques : vol d'informations / destruction de données sensibles La campagne d'espionnage semble avoir débuté en mars 2020, via l'installation progressive de logiciels dormants. En octobre 2019 un indicateur anonyme avait signalé le fait que le mot de passe d'un des serveurs était « solarwinds123 ». C'est cette porte qui a ensuite été utilisée.

4/20

Qui a été touché ?

Au moins 250 clients, notamment des entités gouvernementales en Belgique, en Espagne, au Royaume-Uni, en Israël, aux Émirats arabes unis et au Mexique. Au moins six départements du gouvernement américain, dont ceux de l'Énergie, du Commerce intérieur, du Trésor et le département d'État. Des entreprises privées telles que FireEye, Microsoft, Intel, Cisco et Deloitte ont également été touchées par cette attaque. (La plupart des institutions ne communiquent pas sur les cas de hacking)

5/20 Stratégie des attaquants

Solarwinds est un acteur secondaire des cibles visées « Attaque par chaîne d'approvisionnement » via une mise à jour corrompue, accédée via un serveur ftp dont le mot de passe était « solarwinds123 » La « campagne d'intrusion"a été réalisée"par le biais d'une compromission de mise à jour de la plateforme de gestion et de supervision Orion (que possédaient les 18 000 clients, qui est un superviseur de réseaux informatiques) Le code malveillant a été dénommé (par ses auteurs) « Sunburst » [Rayon de soleil, ou Soleil radieux] Les pirates pouvaient potentiellement accéder aux données et aux réseaux de leurs clients et partenaires, ce qui a permis aux hackers d'accroître la portée de son attaque de façon exponentielle.

6/20 Chronologie des événements

Septembre 2019. Des acteurs de la menace obtiennent un accès non autorisé au réseau SolarWinds Octobre 2019. Les acteurs de la menace testent l'injection du code initial dans Orion 20 février 2020. Code malveillant connu sous le nom de Sunburst injecté dans Orion 26 mars 2020. SolarWinds commence à envoyer à son insu des mises à jour du logiciel Orion avec un code piraté

7/20 Qu'est-ce qui a été volé ?

Impossible de le savoir, à moins d'avoir un inventaire très précis de l'accès à tous les fichiers

8/20 Que dit la loi ?

« Si vous ne savez pas que quelque chose s'est produit, est-ce un vol ? » 9/20 Un coupable ?

Seul un acteur étatique est capable d'une opération d'une telle ampleur « Vendredi 19 décembre, le secrétaire d'État américain Mike Pompeo a explicitement accusé la Russie d'en être responsable. » Accusation d'un groupe de pirates informatiques russes baptisé Cozy Bear, responsable d'une attaque bien moins spectaculaire à l'époque d'Obama. Aujourd'hui Microsoft désigne un groupe de hackers russes nommé « Nobelium ».

10/20 Délit d'initié

280 million de dollars d'actions de Solarwinds ont été vendues quelques jours avant que l'attaque ne soit révélée.

11/20 Avant l'événement

Les alertes concernant un crash systémique on commencé le 24 mai 2015, prévu pour une date située entre juillet 2019 et décembre 2022 Le 22 novembre 2020 : « Ce sera notre dernier message concernant... » [Oay-Status 40] : publie une alerte imminente, en conseillant de quitter les zones sans attendre. Le 1 décembre le compte Oay est rendu public Le 12 décembre [Oay-Status 47] : « D'abord ne faites pas de mal. Essayez de guérir Soulagez toujours »... → Covid ? Le 16 décembre [Oay-Status 48] : « Aladdin Smart Harvester for Equity Shares a été déclenché le 2020-12-15, pour la deuxième fois. Nous nous y sommes opposés. » Le 16 décembre : ajout d'un lien vers Trackinsight (cours d'un pari sur une action qui semble sortir du rouge. Le 17 décembre : Solarwinds déclare avoir subi une attaque sans précédent Le 18 décembre, à propos de trackinsight.com : « Enfin de bonnes nouvelles. » [Oay-Status 50]

12/20 trackinsight.com (16/12/2020)

L'annonce est fait peu après que la courbe repasse dans le vert. On suggère de regarder le début du graphique.

13/20 Qu'est-ce que "Aladin" - "Smart harvester" - "Equity shares"

Aladdin : une IA qui surveille toutes les tendances pour les investissement - Ce pourquoi le président de Blackrock milite pour une « transparence » du compte des entreprises. Smart Harvester : La « récolte » est la fin du cycle de vie d'un produit où les profits ne sont pas réinvestis mais redistribués aux investisseurs. (Et si le produit est « Le monde » ?) Equity Shares (iShares) : est un produit de gestion des investissements de Blackrock.

14/20 25/12/2020 : OAY-Like 158

Oay pointe vers un lien qui informe sur les différents types de hacks, classifie celui de Solarwinds comme de type APT (Advanced Persistent Threat) : Scripts faciles : motivations égotiques Menaces internes (malveillantes ou non) : incidents qui révèlent des failles de sécurité Hacktivistes : la motivation est de sensibiliser aux causes politiques et sociales Cybercriminels : motivés par l'appât du gain Menace persistante avancée (Attaque APT) : menace sophistiquée qui restent longtemps non-détectées, et sont organisée par des groupes professionnels (étatiques ou non)

15/20 SolarWinds Orion

SolarWinds Orion est un système de gestion de réseau conçu pour faciliter la gestion des réseaux d'entreprise en centralisant toute la gestion de l'infrastructure du réseau en un seul endroit. Le logiciel est développé dans un langage compilé, ce qui rend plus difficile l'examen approfondi du code à chaque mise à jour. Il s'agit d'une distinction importante, car cela signifie qu'un certain niveau de confiance aurait été nécessaire pour utiliser SolarWinds Orion.

Il faut surtout noter que Orion, auquel il faut être abonné pour le connaître, est un logiciel haut-de-gamme auquel l'accès est très strictement réservé.

16/20 Message cryptique

25 décembre 2020 : « Even Asches turn back to dust from a supernova sunburst » (« Même les Asches retournent à la poussière sous l'effet d'une supernova. ») [Oay-Status 52] → voir page 6 2 janvier : « La collecte et le traitement des données du réseau numérique n'est pas contraire au principe de non-intervention. il s'agirait d'injecter des données déformées dans ce réseau pour influencer les traitements existants, sauf pour éviter tout dommage. Nous voulons qu'ils sachent que nous savons. nous voulons qu'ils sachent que nous pouvons. » [Oay-Status 52] → Oay-Status 47 (page 11)

17/20 Après l'événement

9 janvier 2021 : une vidéo sur le « Dark Winter » (qui était prévu...) [Oay-Like 160] 5 février : « Nous espérons qu'ils y réfléchiront à deux fois » 21 février : « Les statistiques ne peuvent plus être exactes car les règles du marché sont désormais adaptées et modifiées par les banques centrales. Sauf troubles graves dans les villes clés, elles décideront de l'heure exacte. Toutes les variables économiques sont déjà hors limites, selon tous nos modèles pré-épidémiques. » [Oay 156] 3 juin : « SolarWinds a mis un certain temps, puis plus longtemps à se terminer, à chercher, dossier après dossier, ce qu'il fallait garder ou supprimer. Le gros du travail a été fait, il en reste quelques uns à filtrer. Tout ce que les vents ont soufflé, s'en retournera amélioré. » [Oay 167] (Twit épinglé) 17 juillet : « Toutes les injections de liquidités supplémentaires des banques centrales ont été entièrement consommées, principalement par des banques et des fonds malsains. Les marchés ont maintenant retrouvé un comportement normal. Il n'y a plus de calendrier pour un crash planifié. Cependant, la tendance régulière conduit toujours, plus lentement, à la faillite mondiale. » [Oay-172]

Epilogue 18/20 27 octobre 2021 : « Processing Ashes into iShares would be tantamount to processing iShares into ashes. » « Transformer Ashes en iShares reviendrait à transformer iShares en cendres. »

Asches = Aladdin Smart Harvester for Equity Shares

19/20 Conclusion

Y a-t-il un lien entre le non-crash et l'attaque de Solarwinds ? Note :