Mardi 21 Novembre 2017

ShadowPad, l’une des plus importantes attaques jamais découvertes contre la chaîne logistique

Jeudi 17 Août 2017
Les experts de Kaspersky Lab ont découvert cet été qu’une backdoor (porte dérobée) avait été placée dans un logiciel de gestion de serveurs édité par NetSarang et utilisé par des centaines de grandes entreprises dans le monde. Lorsqu’elle est activée, cette backdoor permet aux attaquants de télécharger des modules malveillants ou de voler des données. Depuis l'éditeur a retiré le code malveillant et développé une mise à jour pour ses clients.

En juillet dernier, l’équipe internationale de recherche et d’analyse (GReAT) de Kaspersky Lab a été approchée par une institution financière qui avait enregistré des requêtes DNS (domain name server) suspicieuses provenant d’un système impliqué dans l’enregistrement des transactions. Une enquête plus poussée a révélé que ces requêtes trouvaient leur origine dans un logiciel de gestion des serveurs édité par une entreprise légitime (NetSarang) et utilisé par des centaines de clients dans des secteurs variés. L'éditeur n’avait, évidemment, pas prévu que son logiciel fasse ces demandes.

Des analyses complémentaires ont permis de découvrir que les requêtes suspicieuses venaient de l’activité d’un module malveillant baptisé ShadowPad, caché dans une version récente du logiciel. Suite à l’installation d’une mise à jour infectée du logiciel, le module malveillant commence à envoyer des requêtes DNS vers des domaines spécifiques (son serveur de commande et de contrôle) une fois toutes les 8 heures. La requête contient des informations basiques à propos du système de la victime (nom d’utilisateur, nom de domaine, nom d’hôte). Si les cyber criminels considèrent que le système est « intéressant », le serveur de commande répond et active une plate-forme complète de backdoor qui se déploie silencieusement sur l’ordinateur ciblé. Ensuite, sur commande des attaquants, la plateforme de backdoor peut télécharger et exécuter du code malveillant.

Une fois mise au courant, NetSarang a réagi très rapidement et mis à disposition une version mise à jour de son logiciel, sans code malveillant. « Cette affaire vient rappeler l’importance pour les grandes entreprises de s’équiper de solutions avancées capables de surveiller les activités réseau et de détecter des anomalies, explique Igor Soumenkov, chercheur en sécurité, GReAT, Kaspersky Lab. C’est le meilleur moyen de repérer des activités malveillantes, et ce même si les attaquants utilisent des techniques suffisamment sophistiquées pour cacher leur malware dans des logiciels légitimes ». 

Selon Kaspersky Lab, le module malveillant a été activé à Hong Kong, mais il pourrait être dormant sur beaucoup d’autres systèmes partout dans le monde, particulièrement si les utilisateurs n’ont pas installé la version mise à jour du logiciel.




Les 10 derniers articles
Services
  • EST
  • Proposer un communiqué de presse
Communiqués de presse