Les logiciels malveillants trouvés correspondent au code utilisé Vs. Entrepreneurs de la Défense en 2012
Des pirates de cyberespionnage qui ont fait irruption dans une entreprise de sécurité Bit9 a initialement violé les défenses de l’entreprise en juillet 2012, selon des preuves recueillies par des experts en sécurité enquêtant sur l’incident. Bit9 reste réticent à nommer les clients qui ont été touchés par l’intrusion, mais le logiciel malveillant sur mesure utilisé dans l’attaque a été déployé l’année dernière dans des attaques très ciblées contre des sous-traitants de la défense américaine.
Plus tôt ce mois-ci, BreachTrace a dévoilé l’histoire de la violation de Bit9, basée à Waltham, dans le Massachusetts, qui impliquait le vol de l’un des certificats numériques privés de l’entreprise. Ce certificat a été utilisé pour signer un logiciel malveillant, ou « malware », qui a ensuite été envoyé à trois des clients de l’entreprise. Contrairement aux logiciels antivirus, qui tentent d’identifier et de bloquer les fichiers malveillants connus, l’approche de Bit9 aide les organisations à bloquer les fichiers qui ne sont pas déjà signés numériquement par les propres certificats de l’entreprise.
Après avoir publié quelques Blog des postes À propos de l’incident, Bit9 a partagé avec plusieurs fournisseurs d’antivirus les « hachages » ou empreintes digitales uniques de quelque 33 fichiers que les pirates avaient signés avec le certificat volé. BreachTrace a obtenu une liste de ces hachages et a pu localiser deux fichiers malveillants correspondant à ces hachages en utilisant Virustotal.com – un service et une base de données consultables qui permettent aux utilisateurs de soumettre des fichiers suspects pour une analyse simultanée par des dizaines d’outils antivirus.
La première correspondance a produit un fichier appelé « media.exe », qui selon Virustotal a été compilé puis signé à l’aide du certificat de Bit9 le 13 juillet 2012. L’autre résultat était un Fichier de pilote Microsoft pour un Serveur de base de données SQLqui a été compilé et signé par le certificat de Bit9 le 25 juillet 2012.
Interrogé sur ces conclusions, Bit9 a confirmé que la violation semble avoir commencé l’été dernier avec la compromission d’un serveur Web accessible sur Internet, via un Attaque par injection SQL. Ces attaques tirent parti des configurations de serveur faibles pour injecter du code malveillant dans la base de données derrière le serveur Web public.
Dans une interview exclusive avec BreachTrace, Bit9 a déclaré avoir appris la violation pour la première fois le 29 janvier 2013, lorsqu’il a été alerté par un tiers qui n’était pas client de Bit9. La société pense que les problèmes ont commencé en juillet dernier, lorsqu’un employé a démarré une machine virtuelle équipée d’un ancien certificat de signature Bit9 qui n’avait pas été activement utilisé pour signer des fichiers depuis janvier 2012.
Harry Sverdlove, directeur de la technologie de Bit9, a déclaré que la société prévoyait de partager plus de détails sur son enquête sur l’intrusion dans un article qui sera publié jeudi sur le blog de Bit9. Par exemple, a-t-il dit, le serveur de contrôle utilisé pour coordonner les activités des logiciels malveillants envoyés par les attaquants remonte à un serveur à Taiwan.
Sverdlove a déclaré que Bit9 ne révélera pas l’identité des clients qui étaient apparemment la véritable cible de la violation ; il les caractériserait seulement comme « trois entités d’infrastructure non critiques ». Sverdlove a déclaré que bien qu’il soit clair maintenant que Bit9 a été piraté comme point de départ pour lancer des attaques plus furtives contre une poignée de ses clients, cette réalité n’adoucit guère le coup.
« Bien que cela ne nous fasse pas nous sentir mieux, ce n’était pas une campagne contre nous, c’était une campagne qui nous utilisait », a déclaré Sverdlove. « Nous ne sommes pas rassurés, mais la bonne nouvelle, c’est qu’ils nous ont poursuivis parce qu’ils n’étaient pas en mesure de s’en prendre directement à nos clients. »
On ne sait pas pourquoi les attaquants ont attendu si longtemps pour utiliser les certificats volés, mais dans tous les cas, Bit9 indique que la machine virtuelle non autorisée est restée hors ligne d’août à décembre et n’a été réactivée qu’au début de janvier 2013.
Source : Symantec
La société a déclaré que la vulnérabilité d’injection SQL a été utilisée pour planter HiKit, un programme « rootkit » sophistiqué conçu pour masquer la présence d’autres fichiers malveillants et pour ouvrir une porte dérobée sur les systèmes hôtes. HiKit a été détaillé pour la première fois en août 2012 par une société de criminalistique de sécurité basée à Alexandria, en Virginie. Mandiantqui a déclaré avoir découvert l’outil personnalisé alors qu’il enquêtait sur des attaques ciblées contre un petit nombre d’entrepreneurs de la défense aux Etats-Unis. L’analyse initiale de Mandiant sur HiKit est ici.
Fait intéressant, selon une rédaction de Symantec, le version de HiKit qu’il a examinée s’est également installée pour héberger des machines à l’aide d’un certificat numérique volé. Symantec n’a pas précisé à quelle entreprise le certificat avait été volé, mais il a indiqué que le certificat en question avait expiré près d’un an plus tôt, en novembre 2011. Cela suggère que le certificat volé utilisé dans les attaques HiKit documentées l’année dernière utilisait celui de quelqu’un d’autre. certs : selon Bit9, leur certificat volé n’était pas censé expirer avant mai 2013. (Mettre à jour: Le certificat volé référencé par Symantec semble avoir été prise d’un fabricant de jeux japonais YNK Japan Inc.).
La divulgation intervient au milieu d’une inquiétude accrue du public et du gouvernement américain face aux attaques d’espionnage ciblées visant à siphonner la propriété intellectuelle des sociétés américaines, des sous-traitants gouvernementaux et de l’armée. Une grande partie de cette conversation a porté sur les répétitions allégations de pirates informatiques parrainés par l’État en Chinedont on pense qu’une grande quantité de ces attaques sophistiquées par piqûre d’épingle émanent.
Le gouvernement chinois a nié avec véhémence et systématiquement tout parrainage ou encouragement de telles attaques. Répondant à une histoire de hackers chinois soupçonnés de s’être introduits dans des réseaux de Le Washington Post (une autre histoire présentée pour la première fois sur BreachTrace), le ministère chinois de la Défense aurait déclaré : « Il n’est pas professionnel et sans fondement d’accuser l’armée chinoise de lancer des cyberattaques sans aucune preuve concluante.
Prenant apparemment cela comme un défi personnel, Mandiant a publié mardi un Rapport de 73 pages détaillant les activités du collectif de piratage chinois connu sous le nom de « Comment Crew » (alias « Comment Group »). Dans cette analyse, Mandiant présente des preuves prétendant montrer que plus de 140 cyber-intrusions ciblées attribuées à The Comment Crew depuis 2006 remontent à un seul bâtiment dans un quartier délabré de la périphérie de Shanghai qui sert de siège au People’s Liberation. Unité militaire 61389.
Le rapport Mandiant regorge de détails fascinants et est une bonne lecture. Il convient de mentionner que l’une des deux cyberattaques publiques que Mandiant et d’autres ont attribuées au Comment Crew était la brèche de l’année dernière chez Telvent, une société qui conçoit des logiciels permettant aux entreprises pétrolières et gazières et aux opérateurs de réseaux électriques de contrôler à distance leurs systèmes (le L’histoire de Telvent a également éclaté pour la première fois sur BreachTrace.com).
Des violations que Mandiant attribue au groupe de piratage chinois identifié dans son rapport.
On ne sait toujours pas si des groupes de piratage chinois ont été impliqués dans l’attaque contre Bit9, mais l’analyse initiale des logiciels malveillants laissés dans la brèche pointe vers l’Asie de l’Est, sinon la Chine. Le fichier malveillant media.exe a été compilé à l’aide de Caractères chinois simplifiés. De plus, lorsqu’il est installé sur une machine de test, il balise une adresse Internet à Singapour (180.210.204.227).
Interrogé sur ce que son entreprise aurait pu faire différemment ou pourrait faire différemment à l’avenir, Sverdlove de Bit9 a souligné une plus grande vigilance et un suivi plus attentif de ses propres procédures de sécurité. Il a également exprimé l’espoir qu’un partage d’informations plus large et plus ouvert sur ces attaques et menaces ciblées puisse rendre les choses plus difficiles pour les attaquants et aider à unir les défenseurs.
« D’un côté, c’est juste une preuve supplémentaire que nous avons affaire à des attaquants motivés et bien organisés et à des campagnes à long terme qui sont menées en termes de cyberespionnage », a déclaré Sverdlove. « D’un autre côté, c’est un rappel que nous tous, même les entreprises de sécurité, devons rester diligents et déployer une défense en profondeur en couches. C’est une pilule amère, et ça ne fait pas du bien, c’est la vérité. Mais nous croyons fermement au partage de renseignements sur les menaces, et je pense qu’en tant que communauté de sécurité, nous devons partager des renseignements et nous unir à ce sujet, car nous sommes confrontés à des ennemis qui le font définitivement.