Que fait un jeune hacker chinois une fois qu’il a atteint le statut de légende pour avoir développé des exploits zero-day de Microsoft Office et les avoir utilisés pour récupérer des piles de données sensibles provenant de sous-traitants du département américain de la Défense ? Croiriez-vous : lancer une société d’antivirus ?
Cela semble être ce qui s’est passé à Anvisoft, une startup antivirus chinoise qui reste quelque peu méfiante quant à ses origines et à son leadership. Je suis tombé sur une discussion sur l’information Forum des utilisateurs de Malwarebytes, dans lequel les habitués du forum se demandaient s’il s’agissait d’un fournisseur d’antivirus légitime. Anvisoft avait déjà été mis sur liste blanche par plusieurs autres produits antivirus et de sécurité (y compris Comodo), mais le fil de discussion sur Malwarebytes à propos de qui dirigeait cette entreprise n’était pas concluant, ce qui m’a incité à creuser plus profondément.
Je me suis tourné vers le propre forum d’utilisateurs d’Anvisoft et j’ai découvert que je n’étais pas le seul à avoir faim de réponses. Ce gars a posé une question similaire en avril 2012, et a reçu une réponse d’un membre du personnel d’Anvisoft nommé « Ivy », qui a déclaré qu’Anvisoft était « une nouvelle entreprise sans antécédent, et nous sommes situés au Canada ». Les questions de suivi adressées aux administrateurs du forum Anvisoft concernant les noms des dirigeants de l’entreprise ont produit cette réponse, toujours d’Ivy :
« La personne qui dirige la société anvisoft ne mérite pas d’être mentionnée car elle vous est inconnue. Oui, l’entreprise est située au Canada. 5334, rue Yonge, bureau 141, Toronto (Ontario) M2N 6V1, Canada. »
Un examen rapide des enregistrements d’enregistrement du site Web pour anvisoft.com a indiqué que la société était située à Freemont, en Californie. Et une recherche sur le nom de la marque de la société s’est avérée registres d’enregistrement des marques qui a placé Anvisoft dans la zone high-tech de Chengdu, une ville de la province chinoise du Sichuan.
Poussé par ces incohérences apparentes, j’ai décidé de jeter un coup d’œil aux enregistrements WHOIS originaux du site, en utilisant la base de données historique WHOIS maintenue par domaintools.com. Pendant de nombreux mois, les enregistrements d’enregistrement du domaine ont été cachés derrière des services payants de protection de la confidentialité des enregistrements WHOIS. Mais fin novembre 2011, juste avant le lancement officiel d’Anvisoft, ce voile de confidentialité WHOIS a été brièvement abaissé, révélant ce record :
Registrant: wth rose Moor Building ST Fremont. U.S.A Fremont, California 94538 United States
Administrative Contact:
rose, wth [email protected]
Moor Building ST Fremont. U.S.A
Fremont, California 94538
United States
(510) 783-9288
Quelques jours plus tard, le nom du titulaire « wth rose » a été remplacé par « Anvisoft Technology » et l’adresse [email protected] a été usurpée par « [email protected] » (les e-mails aux deux adresses sont restés sans réponse). Mais cela n’a fait que me rendre plus curieux, alors j’ai jeté un coup d’œil au serveur Web sur lequel anvisoft.com est hébergé.
L’adresse Internet actuelle de anvisoft.com est 184.173.181.194, et un recherche DNS inversée sur cette adresse IP me dit qu’il y a au moins trois autres noms de domaine hébergés à cette adresse : nxee.com, oyeah.comet coversite.com. Ce dernier transmet à un service de parking de domaine et ses informations WHOIS sont protégées.
Mais oyeah.com et nxee.com étaient également initialement enregistrés auprès de wth rose et [email protected] Et l’historique de leurs enregistrements WHOIS remonte encore plus loin, révélant un détail plus fascinant : avant d’être mis à jour avec les informations d’entreprise d’Anvisoft, ils étaient également enregistrés pour un utilisateur nommé « tandailin” à Gaoxingu, en Chine, avec l’adresse e-mail [email protected].
Image : iDefense
Quand j’ai vu ce disque, cela m’a immédiatement rappelé un infâme hacker chinois qui s’appelait Wicked Rose (alias « Rose fanée« ). En 2007, iDefense de Verisign a publié un rapport (PDF) sur les exploits de piratage de Rose, qui détaillait son rôle présumé en tant que chef d’une équipe de piratage de quatre hommes parrainée par l’État appelée NCPH (abréviation de Network Crack Program Hacker). Selon iDefense, en 2006, le groupe était responsable de la création d’un rootkit qui tirait parti d’une vulnérabilité zero-day dans Microsoft Word et était utilisé dans des attaques contre « une grande entité du DoD » aux États-Unis.
« Wicked Rose et le groupe de piratage NCPH sont impliqués dans plusieurs attaques basées sur Office sur une période de deux ans », indique le rapport.
Les analystes d’iDefense incluent également une section avec des photos de Wicked Rose, expliquant que le vrai nom de Rose est Tan Dailinet qu’il est maintenant âgé de 28 ans et qu’il s’est fait les dents au Université des sciences et de l’ingénierie du Sichuan à Zigong, une ville de la province chinoise du Sichuan.
Le rapport indique qu’à l’époque, Rose administrait le site Web de son équipe de piratage sur ncph.net et dirigeait son propre blog personnel sur mghacker.com. Selon les enregistrements WHOIS historiques, l’adresse e-mail utilisée pour enregistrer mghacker.com était [email protected]la même adresse e-mail dans les enregistrements WHOIS historiques pour les propriétés en ligne d’Anvisoft.
Quelques indices plus alléchants : Selon iDefense, l’un des copains de Dailin dans NCPH – un hacker surnommé « Rodag » – a également dirigé son propre blog. Rodag semble toujours bloguer là-bas, j’ai donc demandé à Google Translate de me montrer ses dernières publications: Il s’avère que, plus tôt cette année, Rodag exhorte les lecteurs pour télécharger et installer Défenseur intelligent Anvisoftl’appelant une « aide à la sécurité de l’étranger » qui offre « des performances supérieures » et est « très simple et belle ».
Jusqu’à récemment, un autre site enregistré sur [email protected] – l’ancien ww4g.com – présentait sur sa page d’accueil une longue critique d’Anvisoft, expliquant aux lecteurs « pourquoi vous avez besoin d’un bon antivirus ».
Tout cela peut être une étrange coïncidence ou un canular. Anvisoft peut en fait être une entreprise légitime, avec un produit légitime ; et pour tout ce que je sais, ça l’est. Mais jusqu’à ce qu’elle commence à répondre à certaines questions de base sur qui dirige l’entreprise, cette entreprise aura du mal à gagner toute sorte de crédibilité ou de part de marché.