Petit à petit, l’attaque CCleaner livre ses secrets. Il y a quelques jours, des chercheurs en sécurité ont révélé que plus de 2 millions de PC ont été contaminés par une mise à jour vérolée de CCleaner, pour installer une porte dérobée sur les ordinateurs Windows. Une analyse plus approfondie par Cisco Talos Intelligence a révélé que cette porte dérobée a été utilisée dans un faible nombre de cas pour installer un second malware. Sur les 700.000 machines infectées découvertes par les chercheurs, une vingtaine a reçu un second paquet cadeau.
Des éléments techniques montrent que les pirates n’étaient intéressés que par les machines appartenant à certaines entreprises technologiques, tels que Samsung, VMware, Intel, Microsoft ou Cisco. Bref, l’opération CCleaner est en réalité une attaque très ciblée donc le but est probablement le vol d’informations confidentielles. Les utilisateurs particuliers peuvent donc se sentir rassurée et se contenter d’effectuer une mise à jour de CCleaner pour se débarrasser du problème. Les entreprises visées, en revanche, seront contraints de passer leurs ordinateurs au Kärcher, pour être certain qu’aucun malware ne reste planqué quelque part.
The CCleaner attack targeted a specific list of companies with a secondary payload. pic.twitter.com/3ZMq9eXmH8
— @mikko (@mikko) September 21, 2017
Qui se cache derrière cette drôle d’attaque ? Cisco Talos Intelligence a pu récupérer un lot de fichiers issu d’un serveur de commande et contrôle (C&C) clairement lié à l’attaque CCleaner. Sur l’un des fichiers PHP de ce lot, ils ont vu que le fuseau horaire spécifié dans le code était « PRC », ce qui signifie « People’s Republic of China ». Evidemment, c’est loin d’être suffisant pour faire une attribution.
Toutefois, en scrutant la porte dérobée de CCleaner, les chercheurs de Kaspersky ont trouvé un bout de code qui figure également dans un malware utilisé par le groupe de cyberespionnage chinois APT17 alias Group 72 alias Operation Aurora. Cette trouvaille a été confirmée par la société Intezer, qui souligne que le code en question n’a été vu dans aucun autre malware connu ou dépôt logiciel public. Cette unicité renforce donc l’hypothèse d’une attaque provenant d’APT17.
En tous les cas, le profil de ce groupe de piratage correspondrait bien à ce type d’action. Les hackers d’APT17 opèrent depuis au moins 2009 et sont spécialisés dans le cyberespionnage de haut vol. Les outils et leurs techniques sont très sophistiqués et particulièrement discrets. Ils ciblent principalement l’Europe, les Etats-Unis et l’Asie du sud-est. Ils diffusent leurs logiciels espions dans tous les secteurs économiques et politiques : armement, financier, gouvernement, diplomatique, technologiques, etc.
Ils adorent les entreprises high-tech
Le piratage d’entreprises high-tech semble être l’une de leurs spécialités. En 2009 et 2010, ils ont réussi à pirater Google et une douzaine d’autres fournisseurs de logiciels et d’équipements informatiques, tels que Adobe, Juniper, Rackspace, Yahoo ou Symantec, notamment pour subtiliser leur codes sources. Ce qui a d’ailleurs généré des tensions diplomatiques entre les Etats-Unis et la Chine.
En 2013, le groupe APT17 a piraté Bit9, une société de sécurité, ce qui leur a permis de mettre la main sur leur certificat électronique et de diffuser un logiciel espion sous leur identité (source : Novetta). En 2015, ils ont piraté le forum TechNet de Microsoft pour infecter des informaticiens avec une porte dérobée (source : FireEye). Le piratage de CCleaner est dans la même veine : très sophistiqué et très « couillu », comme le soulignent certains experts en sécurité sur Twitter.
That's the type of stuff #APT17 / #HiddenLynx does. They are one of the few #APT groups who have the balls to do that. 🙁
— Ronnie Tokazowski – Be Awesome to Each Other! (@iHeartMalware) September 21, 2017
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.