Le pot aux roses a été découvert en début de semaine. SolarWinds se serait méchamment fait pirater pour diffuser des mises à jour vérolées à ses clients : organisations gouvernementales, armée et services de renseignement…
Comme le rapporte BleepingComputer en se basant sur une déclaration de FireEye, un kill switch a été trouvé – en collaboration avec Godaddy et Microsoft – pour stopper l’attaque et empêcher SUNBURST de fonctionner.
La faiblesse du cheval de Troie est la suivante : « En fonction de l'adresse IP renvoyée lorsque le cheval de Troie résout avsvmcloud[.]com et sous certaines conditions, il s'arrêterait et empêcherait toute exécution ultérieure ». Cela fonctionne pour les anciennes comme les nouvelles contaminations. De plus amples détails sont disponibles ici.
