Talos : l'infection de CCleaner préparait des attaques contre Microsoft, Cisco, Intel et d'autres firmes
Pour voler leur propriété intellectuelle

Le , par Michael Guilloux, Chroniqueur Actualités
Il y a quelques jours, Piriform, la société éditrice du logiciel CCleaner a annoncé que son célèbre logiciel de nettoyage de PC a été infecté pendant un mois, après que l'infrastructure de l'entreprise a été compromise. Les utilisateurs qui ont téléchargé la version 32 bits de CCleaner 5.33 à partir du site Web ou via la mise à jour automatique ont donc installé sur leurs systèmes une version malveillante contenant une porte dérobée.

La société a recommandé aux utilisateurs de faire une mise à jour vers la dernière version afin de résoudre ce problème. Mais un nouveau rapport de Talos, la branche de sécurité de Cisco, indique que cela peut ne pas être suffisant.

« Au cours de notre enquête, nous avons reçu une archive contenant des fichiers stockés sur le serveur de commande et de contrôle », expliquent les chercheurs de Talos. « Au départ, nous avions des inquiétudes quant à la légitimité des fichiers. Cependant, nous avons pu vérifier rapidement que les fichiers étaient vraisemblablement authentiques sur la base des fichiers de configuration du serveur Web », entre autres preuves. « En analysant le code livré à partir du serveur de commande et de contrôle, on identifie immédiatement une liste d'organisations, y compris Cisco, qui ont été spécifiquement ciblées par la livraison d'une charge utile dans la seconde étape de l'attaque », ont-ils ajouté. Le code analysé par la firme de sécurité indique que les cibles incluent entre autres Cisco, Microsoft, Sony, Intel, VMware, Samsung, D-Link, Epson, MSI et Linksys.

Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
$DomainList = array (
"singtel.corp.root",
"htcgroup.corp",
"samsung-breda",
"samsung",
"samsung.sepm",
"samsung.sk",
"jp.sony.com",
"am.sony.com",
"gg.gauselmann.com",
"vmware.com",
"ger.corp.intel.com",
"amr.corp.intel.com",
"ntdev.corp.microsoft.com",
"cisco.com",
"uk.pri.o2.com",
"vf-es.internal.vodafone.com",
"linksys",
"apo.epson.net",
"msi.com.tw",
"infoview2u.dvrdns.org",
"dfw01.corp.akamai.com",
"hq.gmail.com",
"dlink.com",
"test.com");
Dans ses investigations, Talos confirme également qu'au moins 20 machines victimes ont été infectées par ce qu’ils qualifient de « charges utiles secondaires spécialisées ». L'entreprise ne nomme cependant pas les victimes ni ne précise s'il s'agit de l'une des sociétés de technologie mentionnées ci-dessus. Cisco dit avoir informé ceux qu'il croit avoir été infectés par cette deuxième charge utile.

L'installateur de la phase 2 de l’attaque est nommé GeeSetup_x86.dll. Il vérifie la version du système d'exploitation et installe une version 32 bits ou 64 bits d'un cheval de Troie sur le système en fonction de la vérification. Le cheval de Troie 32 bits est nommé TSMSISrv.dll et le cheval de Troie 64 bits EFACli64.dll.

Les chercheurs suggèrent que l'attaquant était intéressé par la propriété intellectuelle de ses cibles. Ils soupçonnent également la Chine d'être la source de l'attaque, en se basant sur le fuseau horaire spécifié dans le code analysé et le fait que le malware partage des codes d'outils associés à un groupe de pirates chinois baptisé « Group 72 » ; lequel était suspecté d'être impliqué dans des attaques précédentes visant à voler la propriété intellectuelle de ses cibles.

Avec cette nouvelle découverte, Talos estime qu'une simple mise à jour ne suffit pas pour mettre à l'abri les utilisateurs qui ont installé la version compromise du logiciel. Ils recommandent donc aux utilisateurs de restaurer leur système à l'aide d'une sauvegarde créée avant l'infection. « Ces nouveaux résultats augmentent notre niveau de préoccupation au sujet de ces événements, étant donné que des éléments de notre recherche pointent vers un éventuel acteur inconnu et sophistiqué », a déclaré Talos. « Ces résultats appuient et renforcent également notre recommandation précédente selon laquelle ceux qui ont été touchés par cette attaque de la chaîne d'approvisionnement ne devraient pas simplement supprimer la version affectée de CCleaner ou faire une mise à jour vers la dernière version, mais doivent faire une restauration à partir de sauvegardes ou réimager leurs systèmes pour s'assurer qu'ils suppriment complètement non seulement la version compromise de CCleaner, mais aussi tout autre logiciel malveillant qui a été installé sur le système. »

Source : Talos

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de zitoune31 zitoune31 - Membre régulier https://www.developpez.com
le 22/09/2017 à 20:00
Merci du partage
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 03/10/2017 à 12:44
Infection de la chaîne d’approvisionnement de CCleaner : un groupe chinois pointé du doigt
Par la firme de sécurité Intezer Labs

Les limiers de la sphère de la cybersécurité poursuivent leurs enquêtes relatives à l’infection de la supply chain de CCleaner. Après les dernières révélations de la firme de sécurité Talos faisant état de ce que l’infection ciblait de grands groupes dans le but de voler leur propriété intellectuelle, la firme de sécurité israélienne Intezer Labs prend le relais ou plutôt, enfonce un peu plus le clou dans la tête des présumés responsables : des acteurs chinois. D’après elle, le groupe Axiom, baptisé APT17 est le responsable.

Il faut noter que Talos avait déjà pointé « Group 72 », une autre organisation de pirates chinois, sur la base de l’analyse de ce que les chercheurs de la firme avaient nommé « charges malicieuses secondaires spécialisées. » Des indices dans le code, notamment, le fuseau horaire indiqué et des similitudes entre ledit code et celui de campagnes malicieuses où le groupe avait été identifié, ont permis d’aboutir à cette conclusion. Après une ingénierie inverse desdites charges malicieuses obtenues de Talos, les chercheurs d’Intezer Labs livrent leurs trouvailles.

Comme on peut le voir sur l’image en bas de page de publication, le code de la charge malicieuse reçue de Talos est identique en tous points à celui d’une ancienne campagne malicieuse analysée par la firme Intezer. Et à ce propos, les chercheurs se veulent clairs puisqu’ils déclarent : « ces fragments de code sont les seuls que nous avons retrouvés liés au groupe Axiom dans notre base de données qui en compte des milliards. » Très probablement le résultat d’un « copier-coller » comme l’expliquent les chercheurs de la firme. « Sur la base de l’unicité du contenu de ce fragment de code, nous avons conclu avec assurance qu’il s’agissait du même acteur », ont-ils ajouté.

D’après ce qu’ont rapporté d’autres firmes de sécurité dont Kaspersky Labs notamment, le groupe Axiom serait constitué d’experts IT qui travaillent en freelance et ce, très probablement pour le gouvernement chinois. Les précédentes publications des firmes de sécurité se rejoignent toutes sur un fait à propos de ce groupe : les tentatives de vol de la propriété intellectuelle. Avec des entreprises comme Cisco, Microsoft, Sony, Intel, VMware, Samsung, D-Link, Epson, MSI et Linksys dans son viseur, les activités du groupe Axiom semblent confirmer que la Chine en a une fois de plus après les grands groupes américains.

Qu’on se le dise, dans un contexte fait de cyberattaques à répétition, il semble bien que le fait de ne pas « guetter » chez le voisin ne saurait prémunir un État des regards indiscrets des autres. « La meilleure défense c’est l’attaque », dixit Napoléon Bonaparte.



Source : Intezer

Et vous ?

Qu’en pensez-vous ?

Voir aussi :


la rubrique sécurité
Offres d'emploi IT
IT lead développeur H/F
Capgemini - Bretagne - Rennes (35000)
Développeur java H/F
Capgemini - Pays de la Loire - Nantes (44000)
Développeur débutant H/F
Capgemini - Aquitaine - Bordeaux (33000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil