Trustwave, une société de sécurité de l’information, a eu un peu plus d’informations sur le malware GoldenSpy qu’elle a découvert dans un logiciel chinois de taxe en juin dernier. Entretemps, l'équipe SpiderLabs du fournisseur de cybersécurité a pris connaissance d'un autre logiciel de facturation du système Golden Tax de la Chine contenant un code malveillant qu’elle a baptisé GoldenHelper. Bien que ce nouveau malware soit fonctionnellement très différent de GoldenSpy, le mode de diffusion est très similaire, selon Trustwave. L’équipe a la preuve que cette autre campagne d'espionnage des contribuables chinois existait bien avant Goldenspy qui a fait l’objet d’un rapport il y a trois semaines. L'équipe Trustwave SpiderLabs a publié un rapport sur les menaces émergentes concernant la porte dérobée GoldenSpy, le 25 juin. Dans le rapport complet, la société a conclu que, bien qu’elle n’avait que peu d’information et qu’elle n’avait pas connaissance d'une attaque en cours, la porte dérobée présentait plusieurs caractéristiques qui pouvaient conduire à un compromis majeur. Comme indiqué dans le rapport, le logiciel malveillant GoldenSpy est installé dans le cadre du logiciel fiscal obligatoire produit par la société Aisino, l’une des organisations autorisées à produire des logiciels du programme Golden Tax du gouvernement chinois.
GoldenSpy a été trouvée dans le logiciel fiscal officiel qu'une banque chinoise a obligé une multinationale occidentale de technologie à installer, selon le rapport. Le spyware donnait aux attaquants un accès complet au réseau des entreprises ciblées. Les créateurs de la porte pouvaient exécuter à distance les commandes ou les logiciels de leur choix sur un ordinateur infecté. GoldenSpy était également signé numériquement par un certificat de confiance de Windows, selon le rapport. Depuis lors, Trustwave SpiderLabs a mis son rapport à jour avec quelques détails sur GolgenSpy. L’équipe a découvert que le logiciel de taxation d’Aisino téléchargeait et exécutait un désinstallateur, supprimant ainsi toute trace du malware GoldenSpy.
Le projet Golden Tax est un programme national en Chine, qui touche toutes les entreprises opérant dans ce pays. Il a été lancé pour centraliser la facturation de la taxe sur la valeur ajoutée, obliger les entreprises à payer leur taxe et lutter contre la fraude fiscale à l'aide d’un logiciel sophistiqué. Trustwave dit avoir la connaissance de deux organisations autorisées à produire le logiciel Golden Tax, Aisino et Baiwang. C'est maintenant le deuxième logiciel Golden Tax que Trustwave SpiderLabs a découvert comme contenant une porte dérobée cachée capable d'exécuter à distance du code arbitraire avec des privilèges de niveau SYSTEME.
Le nouveau malware, le GoldenHelper (nom donné par Trustwave SpiderLabs), qui a pu se cacher pendant plus d’un an d’activité, a existé avant que GoldenSpy ne devienne actif. GoldenHelper était dissimulé dans le logiciel de facturation de Golden Tax, que toutes les entreprises enregistrées en Chine sont tenues d'utiliser pour payer la TVA. Selon le nouveau rapport de Trustwave, le logiciel malveillant est capable de contourner le contrôle des comptes d'utilisateur, le mécanisme de Windows qui exige que les utilisateurs donnent leur accord avant que le logiciel puisse installer des programmes ou apporter d'autres modifications au système, tout comme GoldenSpy. Une fois que cela est fait, GoldenHelper peut installer des modules avec des privilèges niveau système.
Les caractéristiques du spyware GoldenHelper
Selon le rapport, en plus du mode de diffusion très similaire avec GoldenSpy, GoldenHelper utilise d'autres astuces pour dissimuler son comportement malveillant et échapper à la détection des systèmes et logiciels de protection des points d'accès. Voici, ci-dessous, ces astuces découvertes par Trustwave :
- Noms de fichiers générés de manière aléatoire
- Horodatage aléatoire de la "création" et de la "dernière écriture"
- Tentative de téléchargement de fichiers exécutables utilisant de faux noms de fichiers avec des extensions telles que .gif, .jpg et .zip
- Une logique codée en dur qui utilise les données de consultation de domaine pour contrôler les emplacements de téléchargement, le contenu téléchargé et l'endroit où le contenu est placé
- Utilisation d'un algorithme de génération de domaines basé sur IP pour changer l'emplacement des serveurs de commande à la volée.
Ce malware utilise trois fichiers .dll différents, selon le rapport : un fichier .dll pour interfacer avec le logiciel Golden Tax, un autre pour contourner la sécurité Windows et augmenter les privilèges et un fichier {random_name} .DAT pour télécharger et exécuter du code arbitraire avec le privilège de niveau SYSTEME. L’équipe de Trustwave a schématisé le déroulement du processus d'installation de ce logiciel ci-dessous :
Déroulement du processus d'exécution de GoldenHelper
La campagne GoldenHelper est conçue pour télécharger et exécuter secrètement une charge utile finale appelée taxver.exe avec des privilèges de niveau SYSTÈME. La charge utile finale pourrait se trouver à plusieurs endroits dans le système de fichiers, selon le rapport. Mais contrairement à l'enquête sur GoldenSpy, les chercheurs de Trustwave n'ont pas encore trouvé d'échantillons de la charge utile finale installée par GoldenHelper. Trustwave demande à toute personne pouvant fournir un échantillon de le contacter.
Chronologie de la campagne GoldenHelper
Trustwave a déclaré que GoldenSpy avait été actif d'avril au mois de juin, lorsque la campagne a été brutalement interrompue suite au rapport de la société de sécurité. Tandis que, GoldenHelper a été actif de janvier 2018 à juillet 2019, une constatation qui montre que le logiciel de taxe héberge des logiciels malveillants depuis plus longtemps que ce que l'on savait auparavant. GoldenHelper a été signé numériquement à l'aide d'un certificat de confiance Windows délivré à NouNou Technologies, une filiale d'Aisino Corporation, la même société responsable du logiciel fiscal contenant le malware GoldenSpy.
Dans certains cas, les banques déploient le logiciel Golden Tax en tant que système autonome, selon Trustwave. Plusieurs personnes ont déclaré à la société avoir reçu un véritable ordinateur Windows 7 (édition familiale) avec ce logiciel Golden Tax (et GoldenHelper) préinstallé et prêt à l'emploi. La découverte de GoldenHelper montre également que GoldenSpy n'était pas une campagne ponctuelle, mais plutôt une campagne qui utilisait au moins un autre logiciel malveillant sur une période plus longue que celle connue jusqu'alors.
Calendrier de la campagne GoldenHelper
Trustwave SpiderLabs ne pense pas que la campagne GoldenHelper soit actuellement active. L’équipe ne sait pas non plus pourquoi GoldenHelper a été fermé aussi brusquement. Trustwave suppose que ses opérateurs ont abandonné le projet après que les taux de détection aient augmenté, passant d'environ trois en janvier 2019 à 29 en mars. Cependant, bien que ce mécanisme de déploiement de taxver.exe ne semble plus être actif, il est important de comprendre que taxver.exe peut toujours être une menace active et opérationnelle sur d'innombrables réseaux de victimes, selon le rapport.
Source : Trustwave
Et vous ?
Qu’en pensez-vous ? Que pensez-vous de cette forme d’espionnage chinois associée à des logiciels officiels ? Voir aussi :
Une banque chinoise a exigé de deux sociétés occidentales qu'elles utilisent un logiciel de taxe avec une porte dérobée dissimulée, selon un nouveau rapport La Chine a violé l'accord avec les USA où elle s'engage à ne pas lancer des cyberattaques à des fins d'espionnage économique, selon un responsable US La guerre sous-marine : la Chine aurait emporté un trésor inestimable, en piratant le réseau privé d'un entrepreneur de la Navy Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées