Publié le 09-03-2011 à 00:07:59 dans le thème Réseau - Sécurité

Pays : France - Auteur : La rédaction

Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Le piratage d´ordinateurs à Bercy, la partie visible d´un iceberg difficile à délimiter. Reporters Sans Frontières ciblé aussi par des pirates ... Chinois ! Le piratage d'ordinateurs appartenant au Ministére de Bercy, un cas isolé ? Pas vraiment. Voici ce qui se passe, en ce moment, dans les ordinateurs de centaines de milliers de personnes de part le monde. - Leng jing guan cha -

Comme vous avez du vous en rendre compte, nous sommes restés très discret sur la révélation de Paris-Match au sujet du piratage de 150 ordinateurs (sur 170.000) de Bercy. Une attaque "chanceuse" ! Imaginez, un pirate a réussi à trouver des fonctionnaires, ayant une machine (150 PC infectés, soit 0,09 % du parc) faillible à une vulnérabilité visant la lecture de documents au format PDF. A convaincre ces derniers d'ouvrir un eMail et sa piéce jointe piégée. Et en bonus, les machines touchées avaient en sauvegarde quelques documents sensibles. Bref, si ça ce n'est pas de la chance. Il fallait, pour le pirate, avoir l'assurance de : posséder les emails des cibles ; que les cibles lisent le courriel ; qu'elles cliquent sur le fichier joint ; que le Windows utilisé par le lecteur de la missive piégée ne soit pas patché des derniéres rustines ; que le lecteur Reader PDF ne soit pas rustiné ; qu'il n'y ait pas d'antivirus ; de firewall ; de chiffrement ; ... Avec autant de chance, le pirate devrait jouer au loto, il y gagnerait à coup sur le gros lot ! 

Bref, cette tentative de piratage est loin d'être une nouveauté. Même si elle semble particuliérement bien préparée, pas besoin d'être une armée. Un simple bidouilleur, dans son garage, peut mettre en place ce type d'attaque. Alors pourquoi en parlons nous sur ZATAZ.COM ? Il est intéressant de remarquer qu'au même moment, Reporters Sans Frontières (Paris), subissait une attaque plus complexe encore. Elle aussi semble être orchestrée par des pirates Chinois. Une tentative d'intrusion et d'espionnage qui est plus sophistiquée que le cas Bercy. Mais attention, ce n'est pas parce qu'un pirate passe par la Chine qu'il ne vit pas en face de chez vous. Les proxies Chinois, ordinateurs permettant de signer ses actions sur la toile sous une identité numérique Chinoise, sont légions sur le réseau des réseaux. Des gentils membres de Chosŏn inmin'gun ferait tout aussi bien l'affaire !

Bercy, RSF, même combat ?
Alors qu'un piratage était detecter par le Ministère Français de l'économie, une tentative similaire visait l'Organisation Non Gouvernementale (ONG), Reporters Sans Frontières (RSF). Comme le rappel Wikipedia, Reporters sans frontières est une organisation non gouvernementale internationale se donnant pour objectif la défense de la liberté de la presse. Bref, bien loin du G20. Et pourtant.

Tout débute en septembre 2010. Un courriel signé par l'ancien président fondateur de RSF, Robert Menard, arrive dans la boite eMail de RSF. Dans le courriel, un fichier joint et un PDF. L'identité de l'ancien président de RSF est usurpée. Comme pour Bercy, le PDF est piégé. Pour en savoir plus sur cette attaque, nous vous invitons à lire notre enquête.

Début 2011, nouvelle tentative d'espionnage numérique à l'encontre de Reporters Sans Frontières. Cette fois, et au même moment que le cas Bercy, un étrange script est repéré, en interne, par l'équipe de RSF. Un petit bout de code, caché dans le site, rapidement repéré. Voici comment fonctionne la bestiole malveillante. Elle est divisée en plusieurs parties.

Le 1er iframe concerne l'exploitation d'une vulnérabilité HCP (gestionnaire de protocole - hcp://*). La vulnérabilité HCP permet l'exécution d'un programme sur la machine de la victime (*). En utilisant "mshta.exe", les attaquants peuvent passer le HTA (HTML Applications) en paramètre et ainsi exécuter du WScript. Le programme wscript.exe est un hôte de script. Il va charger le moteur de script approprié pour exécuter un fichier, dans notre cas, un code malveillant.

Le second iFrame concerne l'exploitation d'une vulnérabilité Java, Un code qui est récupéré à partir de l'adresse 111.68.9.253 (hello.jar). Le JAR contient la classe HttpGet, ci-dessous la partie concernant la charge "utile", le payload.

Ce « loader » est toujours le même, "jsq.exe". A noter que l'index du site portant la charge pas "cool", contient un WordPress 3.0.4. Le JRE (Java Runtime Environment), une fois décodé, ressemble au code ci-dessous.

Écrit en Visual Basic 6, ce programme "pas cool" a été compilé, une seconde fois, le mardi 22 février 2011 à 07:58:35. La librairie vb6chs.dll utilisée par le pirate  confirme l'usage d'une version chinoise. La valeur 0x080404b0, dans le code, est associée à la langue (PRC), celle de la République Populaire de Chine (*). Le programme malveillant est un RAT (Remote Administration Tool) nommé PoisonIvy. L'adresse de "contact" de ce RAT est TW.DD.BLUELINE.BE (123.108.108.231:443/TCP).

Une attaque réussie ? Non, les pirates ont peut être constatés qu'il n'y avait pas ce qu'ils recherchaient dans leur tentative de piratage. Bilan, ils ont préféré abaissés leurs cartes pour injecter un code malveillant dans l'espoir d'infecter des membres de Reporters Sans Frontières. Ils avaient quand même bien préparé le terrain, comme pour l'attaque à l'encontre de Bercy, nous avons à faire à du code maison ; une veille de la cible et aucune détection des antivirus. Mais comme déjà indiqué, pas besoin d'être une armée. Juste du temps et de la précision... que posséde, certes, le Shangwubu.

Un Poison nommé Ivy
PoisonIvy est un RAT, un Remote Administration Tool, une façon polie et plus « classe » que de parler d'un cheval de Troie, d'un Trojan. Nous sommes bien loin de l'époque de Back Orifice, l'ancêtre fondateur des RATrojan. Mission de la bestiole PoisonIvy, être installée dans un ordinateur pour cyber surveiller la machine connectée au web. PoisonIvy permet de chercher des informations dans un PC infiltré ; de transférer des données ; de prendre des photos de l'écran de l'ordinateur piégé ; de jouer avec le Regedit ; d'activer ou fermer des ports du PC infecté ; fonction Remote shell (se promener dans les répertoires) ; d'écouter et captures le son via le micro installé sur l'ordinateur compromis ; de transformer la machine piratée en serveur ; installer des applications. Bref, petit mais costaud le RAT.

Vous avez dit bizarre ? Comme c'est bizarre !
L'histoire aurait pu s'arrêter là, sauf que le pirate de Reporters Sans Frontiéres s'est réveillé quelques heures avant la grosse mise à jour des 170,000 ordinateurs de Bercy. Une nise à jour qui a eu lieu le week-end dernier, les 5 et 6 mars. 24 heures avant, le 4 mars, toujours à l'adresse cfajax[dot]com, le pirate mettait à jour son  binaire "pas cool".

1. Le fichier de l'attaque RSF - SHA1: 41f4a79bce73ae3d978ceedafcb28ee17623dd56
Au 2011-02-25 04:20:40 (UTC) - détection ratio: 0/40
Au 2011-03-06 17:47:18 (UTC) - détection ratio: 3 /43 (7.0%)

2. L'échantillon du 4 mars - SHA1: 17b34d095cf157a73fcc9bb9deb5ad9d4759a9e7
Au 2011-03-05 11:45:04 (UTC) - détection ratio: 1 /43 (2.3%)
Au 2011-03-06 17:54:05 (UTC) - détection ratio: 16 /43 (37.2%)

A noter que l'éditeur Sophos semble avoir réalisé une détection générique efficace de cette « chose ». Le code malveillant a été baptisé pour l'éditeur d'antivirus, Mal/Generic-L. La protection est sensiblement la même, on y retrouve la chaine de caractères "haowawa". Dans le dernier échantillon, il est possible de trouver également "denxiaop". Un pseudo ? Nous imaginons mal un pirate aussi pointu et tenace signer son action. Notre imagination débordante nous fait penser à Deng Xiaoping (un chinois l'aurait écrit dèng xiǎopíng) ancien chef de la République populaire de Chine. Le "Petit joufflu" est considéré comme le politique Chinois ayant décidé le développement économique du Pays du soleil du milieu. Il aimait dire que "Peu importe si un chat est noir ou blanc, l'important est qu'il attrape des souris !"

A noter que l'ancienne adresse TW.DD.BLUELINE.BE (123.108.108.231 - AS24544) sur 443/TCP a été changée. Elle est aujourd'hui  exécutée à partir de UPDATE360.DD.BLUELINE.BE (111.68.8.28 - AS45753) sur 443/TCP. Dans les deux cas, le serveur BLUELINE.BE reste l'hôte.

inetnum:        123.108.108.0 - 123.108.110.255
netname:       PANGNET
descr:            Pang International Limited
country:         HK
admin-c:        YL2194-AP
tech-c:           YL2194-AP
status:          ASSIGNED NON-PORTABLE
mnt-by:         MAINT-HK-PANG
changed:       [email protected] 20100419
source:          APNIC
person:         Yu Pang Law
nic-hdl:         YL2194-AP
e-mail:          [email protected]
address:       2D Hung Hay Building,
address:        1st Fa Yuen Street,
address:        Mong Kok,
address:        Kowloon,
address:        Hong Kong
phone:          +852-6172-5306
fax-no:          +852-2332-8934
country:        HK
changed:      [email protected] 20081229
mnt-by:         MAINT-HK-PANG
source:         APNIC
ip4:              194.78.199.172
include:        skynet.be
include:        belgacom.be

AS45753 [123.108.108.0/22 - Pang International Limited Proxy]
-- AS24544
-- AS38871
-- AS9293
-- AS9584

aut-num:  AS24544
as-name:  PANGNET-AS-AP
descr:       Pang International Limited-AS number
country:    HONG KONG
import:     from AS45753 - from AS10026

13 112.121.160.58
14 112.121.160.62
15 112.121.160.74 [!] firewall ( DPI )
16 ?
17 111.68.8.28

Bref, si Bercy parle du G20 comme motif possible de cette "petite" attaque. Que penser de Reporters Sans Frontières ? Cette nouvelle tentative de piratage de RSF concernait-elle les informations transmises, secretement et discrétement, via son abri anticensure ? Chose est certaine, ça nous change du "stratagème de la lamproie" !

Tweet

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Réagissez à ce contenu