Une étude récente menée par la société de cybersécurité Volexity a mis en lumière un type d’attaque particulièrement sophistiqué orchestré par un acteur de cyberespionnage parlant chinois, connu sous le nom de StormBamboo.

Ce groupe malveillant a réussi à compromettre un fournisseur d’accès Internet (FAI) afin de modifier certaines réponses DNS aux requêtes provenant de systèmes cherchant à obtenir des mises à jour logicielles légitimes. Plusieurs éditeurs de logiciels ont été ciblés. Les réponses altérées ont permis à StormBamboo de livrer des charges utiles malveillantes en plus des fichiers de mise à jour authentiques. Ces charges ont visé à la fois les systèmes d’exploitation macOS et Microsoft Windows.

Qui est StormBamboo ?

StormBamboo, également désigné sous les noms d’Evasive Panda, Daggerfly ou Bronze Highland, est un acteur de cyberespionnage aligné sur les intérêts chinois, actif depuis au moins 2012. Ce groupe, qui s’exprime en chinois, a ciblé de nombreuses organisations à travers le monde en lien avec les intérêts de la Chine.

Au fil des ans, le groupe a visé des individus en Chine continentale, à Hong Kong, à Macao et au Nigeria. De plus, il a ciblé des entités, y compris des gouvernements, en Asie du Sud-Est, en Asie de l’Est, aux États-Unis, en Inde et en Australie.

Ce groupe a une longue expérience dans la compromission d’infrastructures légitimes pour infecter ses cibles avec des malwares sur mesure développés pour les systèmes d’exploitation Microsoft Windows et macOS. Ils ont également mis en œuvre des attaques de type « watering hole », consistant à compromettre un site web spécifique pour cibler ses visiteurs et les infecter avec des malwares.

StormBamboo est également capable de mener des attaques sur la chaîne d’approvisionnement, en compromettant une plateforme logicielle pour infecter discrètement les utilisateurs.

Le groupe a également la capacité de cibler les utilisateurs d’Android.

Compromission du FAI et empoisonnement des réponses DNS

L’acteur malveillant a réussi à compromettre l’infrastructure d’un FAI pour contrôler les réponses DNS de ses serveurs, qui traduisent principalement les noms de domaine en adresses IP, permettant ainsi d’accéder aux sites web appropriés. Un attaquant contrôlant le serveur peut rediriger les ordinateurs vers une adresse IP sous son contrôle lorsqu’une requête pour un nom de domaine particulier est effectuée. C’est exactement ce que StormBamboo a réalisé.

Bien qu’il ne soit pas clair comment le groupe a compromis le FAI, Volexity a rapporté que le FAI a redémarré et mis hors ligne divers composants de son réseau, ce qui a immédiatement stoppé l’opération d’empoisonnement DNS.

L’attaquant visait à modifier les réponses DNS pour plusieurs sites de mise à jour d’applications légitimes.

À lire : Pourquoi votre entreprise devrait envisager de mettre en œuvre des extensions de sécurité DNS

Paul Rascagneres, chercheur en menaces chez Volexity, a déclaré dans une interview écrite à TechRepublic que l’entreprise ne sait pas exactement comment les acteurs de la menace ont choisi le FAI.

« Les attaquants ont probablement effectué des recherches ou une reconnaissance pour identifier le FAI de la victime », a-t-il écrit. « Nous ne savons pas si d’autres FAI ont été compromis ; il est compliqué de l’identifier de l’extérieur. StormBamboo est un acteur de menace agressif. Si ce mode opératoire a été un succès pour eux, ils pourraient l’utiliser sur d’autres FAI pour d’autres cibles. »

Mécanismes de mise à jour légitimes détournés

Plusieurs éditeurs de logiciels ont été ciblés par cette attaque.

Une fois qu’une requête DNS des utilisateurs était envoyée au serveur DNS compromis, celui-ci répondait avec une adresse IP contrôlée par l’attaquant, livrant une mise à jour réelle pour le logiciel, mais avec une charge utile malveillante.

flux de travail de l'attaque. Image : Volexity
Flux de travail de l’attaque. Image : Volexity

Le rapport de Volexity a montré que plusieurs éditeurs de logiciels utilisant des flux de mise à jour non sécurisés étaient préoccupés et a fourni un exemple avec un logiciel nommé 5KPlayer.

Ce logiciel vérifie les mises à jour pour « YoutubeDL » chaque fois qu’il est lancé. La vérification se fait en demandant un fichier de configuration, qui indique si une nouvelle version est disponible. Si c’est le cas, elle est téléchargée à partir d’une URL spécifique et exécutée par l’application légitime.

Cependant, le DNS compromis redirigera l’application vers un fichier de configuration modifié, qui indique qu’une mise à jour est disponible, mais livre un package YoutubeDL contenant une porte dérobée.

La charge utile malveillante est un fichier PNG contenant soit le malware MACMA, soit POCOSTICK/MGBot, selon le système d’exploitation demandant la mise à jour. MACMA infecte macOS, tandis que POCOSTICK/MGBot cible les systèmes d’exploitation Microsoft Windows.

Charges utiles malveillantes

POCOSTICK, également connu sous le nom de MGBot, est un malware personnalisé qui pourrait avoir été développé par StormBamboo, car il n’a pas été utilisé par d’autres groupes, selon ESET. Ce malware existe depuis 2012 et se compose de plusieurs modules permettant la capture de frappes, le vol de fichiers, l’interception du presse-papiers, la capture de flux audio, ainsi que le vol de cookies et d’identifiants.

En revanche, MACMA permet également la capture de frappes, l’identification des appareils victimes, ainsi que la capture d’écran et d’audio. Il offre également une ligne de commande à l’attaquant et possède des capacités de vol de fichiers. Google a initialement signalé en 2021 la présence de malware MACMA, utilisant des attaques de type watering hole.

Cette attaque, bien que non attribuée à un acteur de menace spécifique, a ciblé les visiteurs de sites web de Hong Kong pour un média et un groupe politique pro-démocratie, selon Google. Cette attaque s’aligne avec les cibles de StormBamboo.

Volexity a également remarqué des similitudes significatives dans le code entre la dernière version de MACMA et une autre famille de malwares, GIMMICK, utilisée par l’acteur de menace StormCloud.

Enfin, dans un cas suivant la compromission d’un appareil macOS d’une victime, Volexity a observé que l’attaquant déployait une extension malveillante pour Google Chrome. Le code obfusqué permet à l’attaquant d’exfiltrer les cookies du navigateur vers un compte Google Drive contrôlé par l’attaquant.

Comment les éditeurs de logiciels peuvent-ils protéger les utilisateurs contre les menaces cybernétiques ?

Rascagneres a déclaré à TechRepublic que Volexity avait identifié plusieurs mécanismes de mise à jour non sécurisés ciblés provenant de différents logiciels : 5K Player, Quick Heal, Sogou, Rainmeter, Partition Wizard et Corel.

Interrogé sur la manière de protéger et d’améliorer les mécanismes de mise à jour au niveau des éditeurs de logiciels, le chercheur insiste sur le fait que « les éditeurs de logiciels devraient imposer un mécanisme de mise à jour HTTPS et vérifier le certificat SSL du site web d’où les mises à jour sont téléchargées. De plus, ils devraient signer les mises à jour et vérifier cette signature avant de les exécuter. »

Pour aider les entreprises à détecter l’activité de StormBamboo sur leurs systèmes, Volexity fournit des règles YARA pour détecter les différentes charges utiles et recommande de bloquer les indicateurs de compromission fournis par l’entreprise.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *