Piratage CCleaner : la Chine se cache-t-elle derrière cette attaque ?

Plusieurs indices techniques pointent vers le groupe de hackers chinois APT17, spécialisé dans le cyberespionnage et le vol de données au travers de moyens sophistiqués.

Petit à petit, l’attaque CCleaner livre ses secrets. Il y a quelques jours, des chercheurs en sécurité ont révélé que plus de 2 millions de PC ont été contaminés par une mise à jour vérolée de CCleaner, pour installer une porte dérobée sur les ordinateurs Windows. Une analyse plus approfondie par Cisco Talos Intelligence a révélé que cette porte dérobée a été utilisée dans un faible nombre de cas pour installer un second malware. Sur les 700.000 machines infectées découvertes par les chercheurs, une vingtaine a reçu un second paquet cadeau.

Des éléments techniques montrent que les pirates n’étaient intéressés que par les machines appartenant à certaines entreprises technologiques, tels que Samsung, VMware, Intel, Microsoft ou Cisco. Bref, l’opération CCleaner est en réalité une attaque très ciblée donc le but est probablement le vol d’informations confidentielles. Les utilisateurs particuliers peuvent donc se sentir rassurée et se contenter d’effectuer une mise à jour de CCleaner pour se débarrasser du problème. Les entreprises visées, en revanche, seront contraints de passer leurs ordinateurs au Kärcher, pour être certain qu’aucun malware ne reste planqué quelque part.

Qui se cache derrière cette drôle d’attaque ? Cisco Talos Intelligence a pu récupérer un lot de fichiers issu d’un serveur de commande et contrôle (C&C) clairement lié à l’attaque CCleaner. Sur l’un des fichiers PHP de ce lot, ils ont vu que le fuseau horaire spécifié dans le code était « PRC », ce qui signifie « People’s Republic of China ». Evidemment, c’est loin d’être suffisant pour faire une attribution.

Toutefois, en scrutant la porte dérobée de CCleaner, les chercheurs de Kaspersky ont trouvé un bout de code qui figure également dans un malware utilisé par le groupe de cyberespionnage chinois APT17 alias Group 72 alias Operation Aurora. Cette trouvaille a été confirmée par la société Intezer, qui souligne que le code en question n’a été vu dans aucun autre malware connu ou dépôt logiciel public. Cette unicité renforce donc l’hypothèse d’une attaque provenant d’APT17.

En tous les cas, le profil de ce groupe de piratage correspondrait bien à ce type d’action. Les hackers d’APT17 opèrent depuis au moins 2009 et sont spécialisés dans le cyberespionnage de haut vol. Les outils et leurs techniques sont très sophistiqués et particulièrement discrets. Ils ciblent principalement l’Europe, les Etats-Unis et l’Asie du sud-est. Ils diffusent leurs logiciels espions dans tous les secteurs économiques et politiques : armement, financier, gouvernement, diplomatique, technologiques, etc.

Ils adorent les entreprises high-tech

Le piratage d’entreprises high-tech semble être l’une de leurs spécialités. En 2009 et 2010, ils ont réussi à pirater Google et une douzaine d’autres fournisseurs de logiciels et d’équipements informatiques, tels que Adobe, Juniper, Rackspace, Yahoo ou Symantec, notamment pour subtiliser leur codes sources. Ce qui a d’ailleurs généré des tensions diplomatiques entre les Etats-Unis et la Chine.

En 2013, le groupe APT17 a piraté Bit9, une société de sécurité, ce qui leur a permis de mettre la main sur leur certificat électronique et de diffuser un logiciel espion sous leur identité (source : Novetta). En 2015, ils ont piraté le forum TechNet de Microsoft pour infecter des informaticiens avec une porte dérobée (source : FireEye). Le piratage de CCleaner est dans la même veine : très sophistiqué et très « couillu », comme le soulignent certains experts en sécurité sur Twitter.

 

source:01net.com

Laisser un commentaire