Du gros, du lourd, pour cette page sécurité, avec des détails que vous n’apprendrez pas dans les médias « Mainstream », où Damien Bancal de Zataz c’est lâché ! Et il a dû certainement planter sa tente chez Reporters Sans Frontières (RSF) pour avoir le code de la charge virale qui a attaqué ces sites. Car c’est vraisemblablement le même code qui a touché le ministère français de l'Économie, l’Élysée et le Quai d’Orsay. Et après analyse c’est en fait un RAT, soit un Remote Administration Tool qui semble les avoir trompés, ou un outil d’administration à distance. Même si cela peut, comme sa trace, être un faux indice. Il a toutefois été compilé, une seconde fois, le mardi 22 février 2011 à 07:58:35. Et La librairie du compilateur vb6chs.dll utilisée par le pirate confirme l'usage d'une version chinoise. La valeur 0x080404b0, dans le code, est associée à la langue (PRC), c'est celle de la République Populaire de Chine, et ses fonctionalités, notamment d’enregistrement audio direct et de capture d’écran et vraisemblablement de clavier, tout aussi instantanées, en font une bestiole fort appréciée des pirates chevronnés. Surtout qu’étant issue d’un code inédit sa signature passe à 93 % les détections antivirus. Enfin tout ceci vous sera expliqué en détails au cours de la lecture de l’article illustré et rédigé de main de maître par Damien ci-dessous :
Le piratage d´ordinateurs à Bercy, la partie visible d´un iceberg difficile à délimiter. Reporters Sans Frontières ciblé aussi par des pirates ... Chinois ! Le piratage d'ordinateurs appartenant au Ministère de Bercy, un cas isolé ? Pas vraiment. Voici ce qui se passe, en ce moment, dans les ordinateurs de centaines de milliers de personnes de part le monde. - Leng jing guan cha -
Comme vous avez du vous en rendre compte, nous sommes restés très discret sur la révélation de Paris-Match au sujet du piratage de 150 ordinateurs (sur 170.000) de Bercy. Une attaque "chanceuse" ! Imaginez, un pirate a réussi à trouver des fonctionnaires, ayant une machine (150 PC infectés, soit 0,09 % du parc) faillible à une vulnérabilité visant la lecture de documents au format PDF. A convaincre ces derniers d'ouvrir un eMail et sa pièce jointe piégée. Et en bonus, les machines touchées avaient en sauvegarde quelques documents sensibles. Bref, si ça ce n'est pas de la chance. Il fallait, pour le pirate, avoir l'assurance de : posséder les emails des cibles ; que les cibles lisent le courriel ; qu'elles cliquent sur le fichier joint ; que le Windows utilisé par le lecteur de la missive piégée ne soit pas patché des dernières rustines ; que le lecteur Reader PDF ne soit pas rustiné ; qu'il n'y ait pas d'antivirus ; de firewall ; de chiffrement ; ... Avec autant de chance, le pirate devrait jouer au loto, il y gagnerait à coup sur le gros lot !
Bref, cette tentative de piratage est loin d'être une nouveauté. Même si elle semble particulièrement bien préparée, pas besoin d'être une armée. Un simple bidouilleur, dans son garage, peut mettre en place ce type d'attaque. Alors pourquoi en parlons nous sur ZATAZ.COM ? Il est intéressant de remarquer qu'au même moment, Reporters Sans Frontières (Paris), subissait une attaque plus complexe encore. Elle aussi semble être orchestrée par des pirates Chinois. Une tentative d'intrusion et d'espionnage qui est plus sophistiquée que le cas Bercy. Mais attention, ce n'est pas parce qu'un pirate passe par la Chine qu'il ne vit pas en face de chez vous. Les proxies Chinois, ordinateurs permettant de signer ses actions sur la toile sous une identité numérique Chinoise, sont légions sur le réseau des réseaux. Des gentils membres de Chosŏn inmin'gun ferait tout aussi bien l'affaire !
Bercy, RSF, même combat ?
Alors qu'un piratage était détecté par le Ministère Français de l'économie, une tentative similaire visait l'Organisation Non Gouvernementale (ONG), Reporters Sans Frontières (RSF). Comme le rappel Wikipedia, Reporters sans frontières est une organisation non gouvernementale internationale se donnant pour objectif la défense de la liberté de la presse. Bref, bien loin du G20. Et pourtant.
Tout débute en septembre 2010. Un courriel signé par l'ancien président fondateur de RSF, Robert Menard, arrive dans la boite eMail de RSF. Dans le courriel, un fichier joint et un PDF. L'identité de l'ancien président de RSF est usurpée. Comme pour Bercy, le PDF est piégé. Pour en savoir plus sur cette attaque, nous vous invitons à lire notre enquête.
Début 2011, nouvelle tentative d'espionnage numérique à l'encontre de Reporters Sans Frontières. Cette fois, et au même moment que le cas Bercy, un étrange script est repéré, en interne, par l'équipe de RSF. Un petit bout de code, caché dans le site, rapidement repéré. Voici comment fonctionne la bestiole malveillante. Elle est divisée en plusieurs parties.
Le second iFrame concerne l'exploitation d'une vulnérabilité Java, Un code qui est récupéré à partir de l'adresse 111.68.9.253 (hello.jar). Le JAR contient la classe HttpGet, ci-dessous la partie concernant la charge "utile", le payload.
Ce « loader » est toujours le même, "jsq.exe". A noter que l'index du site portant la charge pas "cool", contient un WordPress 3.0.4. Le JRE (Java Runtime Environment), une fois décodé, ressemble au code ci-dessous.
Une attaque réussie ? Non, les pirates ont peut être constatés qu'il n'y avait pas ce qu'ils recherchaient dans leur tentative de piratage. Bilan, ils ont préféré abaissés leurs cartes pour injecter un code malveillant dans l'espoir d'infecter des membres de Reporters Sans Frontières. Ils avaient quand même bien préparé le terrain, comme pour l'attaque à l'encontre de Bercy, nous avons à faire à du code maison ; une veille de la cible et aucune détection des antivirus. Mais comme déjà indiqué, pas besoin d'être une armée. Juste du temps et de la précision... que possède, certes, le Shangwubu.
Un Poison nommé Ivy
PoisonIvy est un RAT, un Remote Administration Tool, une façon polie et plus « classe » que de parler d'un cheval de Troie, d'un Trojan. Nous sommes bien loin de l'époque de Back Orifice, l'ancêtre fondateur des RATrojan. Mission de la bestiole PoisonIvy, être installée dans un ordinateur pour cyber surveiller la machine connectée au web. PoisonIvy permet de chercher des informations dans un PC infiltré ; de transférer des données ; de prendre des photos de l'écran de l'ordinateur piégé ; de jouer avec le Regedit ; d'activer ou fermer des ports du PC infecté ; fonction Remote shell (se promener dans les répertoires) ; d'écouter et captures le son via le micro installé sur l'ordinateur compromis ; de transformer la machine piratée en serveur ; installer des applications. Bref, petit mais costaud le RAT.
Vous avez dit bizarre ? Comme c'est bizarre !
L'histoire aurait pu s'arrêter là, sauf que le pirate de Reporters Sans Frontières s'est réveillé quelques heures avant la grosse mise à jour des 170,000 ordinateurs de Bercy. Une mise à jour qui a eu lieu le week-end dernier, les 5 et 6 mars. 24 heures avant, le 4 mars, toujours à l'adresse cfajax[dot]com, le pirate mettait à jour son binaire "pas cool".
1. Le fichier de l'attaque RSF - SHA1: 41f4a79bce73ae3d978ceedafcb28ee17623dd56
Au 2011-02-25 04:20:40 (UTC) - détection ratio: 0/40
Au 2011-03-06 17:47:18 (UTC) - détection ratio: 3 /43 (7.0%)
2. L'échantillon du 4 mars - SHA1: 17b34d095cf157a73fcc9bb9deb5ad9d4759a9e7
Au 2011-03-05 11:45:04 (UTC) - détection ratio: 1 /43 (2.3%)
Au 2011-03-06 17:54:05 (UTC) - détection ratio: 16 /43 (37.2%)
A noter que l'éditeur Sophos semble avoir réalisé une détection générique efficace de cette « chose ». Le code malveillant a été baptisé pour l'éditeur d'antivirus, Mal/Generic-L. La protection est sensiblement la même, on y retrouve la chaine de caractères "haowawa". Dans le dernier échantillon, il est possible de trouver également "denxiaop". Un pseudo ? Nous imaginons mal un pirate aussi pointu et tenace signer son action. Notre imagination débordante nous fait penser à Deng Xiaoping (un chinois l'aurait écrit dèng xiǎopíng) ancien chef de la République populaire de Chine. Le "Petit joufflu" est considéré comme le politique Chinois ayant décidé le développement économique du Pays du soleil du milieu. Il aimait dire que "Peu importe si un chat est noir ou blanc, l'important est qu'il attrape des souris !"
A noter que l'ancienne adresse TW.DD.BLUELINE.BE (123.108.108.231 - AS24544) sur 443/TCP a été changée. Elle est aujourd'hui exécutée à partir de UPDATE360.DD.BLUELINE.BE (111.68.8.28 - AS45753) sur 443/TCP. Dans les deux cas, le serveur BLUELINE.BE reste l'hôte.
inetnum: 123.108.108.0 - 123.108.110.255
netname: PANGNET
descr: Pang International Limited
country: HK
admin-c: YL2194-AP
tech-c: YL2194-AP
status: ASSIGNED NON-PORTABLE
mnt-by: MAINT-HK-PANG
changed:
source: APNIC
person: Yu Pang Law
nic-hdl: YL2194-AP
e-mail:
address: 2D Hung Hay Building,
address: 1st Fa Yuen Street,
address: Mong Kok,
address: Kowloon,
address: Hong Kong
phone: +852-6172-5306
fax-no: +852-2332-8934
country: HK
changed:
mnt-by: MAINT-HK-PANG
source: APNIC
ip4: 194.78.199.172
include: skynet.be
include: belgacom.be
AS45753 [123.108.108.0/22 - Pang International Limited Proxy]
-- AS24544
-- AS38871
-- AS9293
-- AS9584
aut-num: AS24544
as-name: PANGNET-AS-AP
descr: Pang International Limited-AS number
country: HONG KONG
import: from AS45753 - from AS10026
13 112.121.160.58
14 112.121.160.62
15 112.121.160.74 [!] firewall ( DPI )
16 ?
17 111.68.8.28
Bref, si Bercy parle du G20 comme motif possible de cette "petite" attaque. Que penser de Reporters Sans Frontières ? Cette nouvelle tentative de piratage de RSF concernait-elle les informations transmises, secretement et discrètement, via son abri anticensure ? Une chose est certaine, ça nous change du "stratagème de la lamproie" !
Source : Zataz.com
