Un chercheur en sécurité de premier plan a publié aujourd’hui peut-être la meilleure preuve à ce jour montrant un lien entre les pirates chinois et les cyber-intrusions sophistiquées à Google, Adobe et une foule d’autres grandes sociétés américaines à la fin de l’année dernière.
À la mi-décembre, Google a découvert que ses réseaux avaient été piratés par des attaquants apparus en provenance de Chine. Un article du Wall Street Journal a cité des chercheurs disant que les attaques – surnommées Opération Aurore – ont été lancés à partir de six adresses Internet à Taïwan, ce qui, selon les experts, est un terrain de jeu commun pour l’espionnage chinois.
Alors que Google lui-même a déclaré que les attaques « provenaient de Chine », les experts n’ont pas tardé à souligner que les attaquants acheminent généralement leurs communications via des ordinateurs éloignés et que les véritables attaquants peuvent se trouver n’importe où dans le monde. Mais de nouveaux indices sur les origines du logiciel malveillant qui a été utilisé pour exploiter la vulnérabilité encore non corrigée d’Internet Explorer suggèrent que l’exploit a en fait été assemblé par des programmeurs chinois
La preuve vient de travail médico-légal publié aujourd’hui par Joe Stewartdirecteur de la recherche sur les logiciels malveillants pour une société de sécurité gérée basée à Atlanta SecureWorks. Stewart a déclaré avoir découvert qu’un extrait du code source utilisé dans le programme de cheval de Troie de porte dérobée planté par l’exploit (appelé « Hydraq » par diverses sociétés antivirus) correspondait à un échantillon de code source détaillé dans un livre blanc en chinois sur algorithmes mathématiques utilisés en électronique.
Stewart a déclaré qu’une recherche Google pour l’une des chaînes de texte clés dans cet échantillon de code montre qu’il est pratiquement inconnu en dehors de la Chine et que presque toutes les pages avec un contenu significatif concernant l’algorithme sont écrites en chinois.
Stewart en déduit que la base de code Aurora provient de quelqu’un qui est à l’aise pour lire le chinois simplifié.
« Bien que le code source lui-même ne soit limité par aucune langue ou nationalité humaine particulière, la plupart des programmeurs [tend] de réutiliser le code documenté dans leur langue maternelle. Faire autrement, c’est inviter des bogues et d’autres problèmes inattendus qui pourraient résulter d’une mauvaise compréhension de l’objectif et de la mise en œuvre du code source, comme indiqué par les commentaires du code ou la documentation.
Il conclut que l’utilisation de cette implémentation de programmation unique dans Hydraq « est la preuve que quelqu’un de l’intérieur [People’s Republic of China] auteur de la base de code Aurora. Et certainement, compte tenu de la portée, du choix des cibles et de l’audace écrasante des attaques (à la lumière des sanctions sévères que nous avons vues infligées dans la Chine communiste pour d’autres délits d’intrusion informatique), cela crée des spéculations sur la question de savoir si les attaques pourraient être étatiques. sponsorisé. »
Ironiquement, si en effet le code a été développé par des groupes de piratage chinois ou le gouvernement chinois et destiné à être utilisé comme une arme contre les entreprises américaines, les utilisateurs chinois de Windows pourraient avoir le plus à perdre de l’exploitation publique de cette vulnérabilité.
C’est parce qu’un grand nombre d’internautes en Chine utilisent encore Internet Explorer 6, la version d’IE la plus exposée à cette faille. Selon les chiffres actuels recueillis par StatCounter, près de 60 % des utilisateurs d’ordinateurs en Chine naviguent sur le Web avec IE6 (voir le tableau ci-dessous). En comparaison, StatCounter indique que seuls 6 % environ des internautes basés aux États-Unis naviguent encore sur le Web avec IE6.
Cela devient encore plus important si l’on considère que l’exploit Aurora apparaît maintenant sur des sites Web chinois extrêmement populaires, a déclaré Gary Warnerdirecteur de recherche en criminalistique informatique à Université de l’Alabama, Birmingham. Warner a partagé des preuves avec breachtrace.com que l’un des sites les plus visités de Chine anime a récemment été piraté et ensemencé avec l’exploit Aurora, servant ceux qui ont visité avec IE6 un cheval de Troie qui a abandonné au moins 32 programmes malveillants différents, y compris des voleurs de mots de passe et des outils utilisés pour enrôler les PC infectés dans des cyberattaques coordonnées et distribuées.
« Des dizaines de milliers de personnes ont été touchées par cela, et les logiciels malveillants qui ont été installés étaient tout simplement incroyables », a déclaré Warner. « Il y a juste beaucoup d’exploitation active sur le marché chinois en ce moment, et c’est en partie parce qu’il y a une utilisation beaucoup plus importante d’IE6 là-bas qu’aux États-Unis. »
Microsoft dit aujourd’hui qu’il prévoit de publier une mise à jour d’urgence jeudi pour corriger la vulnérabilité d’Internet Explorer. breachtrace.com aura plus de détails sur cette mise à jour peu de temps après sa sortie, probablement vers 13 h ou 14 h HE.