Un groupe de pirates informatiques chinois aurait exploit une porte drobe de Linux jusqu’alors inconnue des fins d’espionnage grande chelle. C’est la conclusion d’un rapport d’tude rcemment publi par des chercheurs en scurit de Trend Micro. Le groupe, baptis Earth Lusca, aurait t trs actif au cours du premier semestre de l’anne, ciblant des organisations gouvernementales en Asie du Sud-Est, en Asie centrale, dans les Balkans et ailleurs. Les organisations cibles sont axes sur les affaires trangres, la technologie et les tlcommunications. Trend Micro pense que cette porte drobe est une adaptation d’une porte drobe sous Windows appele « Trochilus ».
Trend Micro, une entreprise japonaise de cyberscurit, a publi lundi un rapport sur une nouvelle porte drobe dcouverte dans le noyau Linux, ainsi que des donnes montrant qu’elle a t exploite dans des campagnes d’espionnage de masse par un acteur de la menace prtendument affili au gouvernement chinois. La porte drobe a t baptise « SprySOCKS » et les chercheurs en scurit de Trend Micro pensent qu’elle provient d’une porte drobe sous Windows nomme « Trochilus », qui a t vue pour la premire fois en 2015 par des chercheurs de l’diteur de logiciels Arbor Networks (aujourd’hui connu sous le nom Netscout Systems).
Selon ces chercheurs, Trochilus s’excutait et fonctionnait uniquement en mmoire, et que la charge utile finale n’apparaissait jamais sur les disques dans la plupart des cas. Cela rendait le logiciel malveillant difficile dtecter. Les chercheurs de NHS Digital au Royaume-Uni ont dclar que Trochilus avait t dvelopp par APT10, un acteur de menace li au gouvernement chinois (galement appel Stone Panda ou MenuPass). D’autres groupes l’ont ensuite utilis et son code source est disponible sur GitHub depuis plus de six ans. Trochilus a t utilis dans le cadre de campagnes faisant appel un autre logiciel malveillant connu sous le nom de RedLeaves.
Liste des messages traits par SprySOCKS et explication de leurs fonctions
En analysant SprySOCKS, Trend Micro dit avoir dcouvert qu’elle incorpore des lments provenant de divers autres logiciels malveillants. Le protocole de communications du serveur de commande et de contrle utilis par SprySOCKS ressemble beaucoup celui de RedLeaves, une porte drobe sous Windows, tandis que sa mise en uvre de l’interprteur de commandes interactif semble avoir t drive de Derusbi, un logiciel malveillant affectant Linux. Selon les experts de Trend Micro, la porte drobe SprySOCKS tait jusque-l inconnue, mais qu’elle a t exploite l’acteur de la menace appel Earth Lusca, identifi comme tant affili au gouvernement chinois.
Le rapport de l’tude indique que le groupe de pirates informatiques Earth Lusca a t actif au cours du premier semestre de cette anne. Elle aurait concentr ses attaques sur des organisations gouvernementales impliques dans les affaires trangres, la technologie et les tlcommunications en Asie du Sud-Est, en Asie centrale et dans les Balkans. Pour obtenir un accs initial ces rseaux cibls, le groupe exploite des vulnrabilits d’excution de code distance non authentifies qui remontent 2019 et s’tendent jusqu’en 2022. Une fois l’intrieur, les pirates lchent des balises Cobalt Strike, ce qui leur permet d’accder distance au rseau compromis.
Ensuite, les pirates utilisent cet accs pour le dplacement latral, l’exfiltration de fichiers, le vol d’informations d’identification et le dploiement de charges utiles supplmentaires telles que ShadowPad. Selon le rapport, SprySOCKS met en uvre les fonctionnalits habituelles d’une porte drobe, notamment la collecte d’informations sur le systme, l’ouverture d’un Shell interactif distance pour contrler les systmes compromis, l’numration des connexions rseau et la cration d’un proxy bas sur le protocole SOCKS pour tlcharger des fichiers et d’autres donnes entre le systme compromis et le serveur de commande contrl par l’attaquant.
Pour mettre en place la porte drobe SprySOCKS, Earth Lusca utilise une variante de l’injecteur Linux ELF appele « mandibule », qui apparat sous la forme d’un fichier appel « libmonitor.so.2 ». Le chargeur fonctionne sous le nom de « kworker/0:22 » pour viter d’tre dtect. Il dchiffre la charge utile de deuxime tape (SprySOCKS) et tablit une persistance dans l’ordinateur infect. Selon les chercheurs de Trend Micro, la porte drobe SprySOCKS fonctionne galement l’aide de HP-Socket, un framework de mise en rseau haute performance. Sa communication avec le serveur de commande et de contrle est crypte l’aide de l’AES-ECB.
Trend Micro a identifi deux versions de SprySOCKS, appeles v1.1 et v1.3.6, ce qui indique un dveloppement continu du programme malveillant. la lumire de ces rsultats, il est fortement conseill aux organisations d’appliquer en priorit toutes les mises jour de scurit disponibles pour leurs produits de serveur en contact avec le public afin d’empcher la compromission initiale de Earth Lusca. Selon le rapport, le serveur de Earth Lusca qui hbergeait SprySOCKS a aussi fourni les charges utiles Cobalt Strike et Winnti. Cobalt Strike est un outil de piratage utilis aussi bien par les professionnels de la scurit que par les acteurs de la menace.
Il fournit une suite complte d’outils permettant de trouver et d’exploiter les vulnrabilits. Earth Lusca l’utilisait pour tendre son accs aprs avoir pris pied dans un environnement cibl. Winnti, quant lui, est la fois le nom d’une suite de logiciels malveillants utilise depuis plus de dix ans et l’identifiant d’une srie de groupes de menaces distincts. Selon les informations sur ces groupes, tous seraient lis l’appareil de renseignement du gouvernement chinois. Par ailleurs, le rapport de Trend Micro fournit des adresses IP, des hachages de fichiers et d’autres lments de preuve que les gens peuvent utiliser pour dterminer s’ils ont t compromis.
Cependant, la prsentation de SprySOCKS comme une porte drobe ne convainc pas tout le monde et suscite des critiques. Pour certains critiques, il ne s’agit que d’un logiciel malveillant et non une porte drobe. Plus personne ne se proccupe du sens des mots ? Il ne s’agit pas d’une porte drobe sous Linux. Une porte drobe est par dfinition disponible sur toutes les machines pilotes par Linux. Pourtant, aucune de mes machines Linux n’a cette « porte drobe », aucune de vos machines Linux n’a cette « porte drobe ». Il s’agit simplement d’un logiciel malveillant que certains peuvent installer sur une machine Linux , a crit un critique.
Trend Micro a dcouvert le groupe Earth Lusca en 2021 et l’a document l’anne suivante. Earth Lusca cible des organisations du monde entier, principalement des gouvernements d’Asie. Il utilise l’ingnierie sociale pour attirer les cibles vers des sites o elles sont infectes par des logiciels malveillants. Outre son intrt pour les activits d’espionnage, Earth Lusca semble avoir des motivations financires, avec des vises sur les socits de jeux d’argent et de cryptomonnaies.
Source : Trend Micro
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de SprySOCKS et de son fonctionnement ?
Selon vous, est-ce une porte drobe ou un logiciel malveillant ?
La Chine accuse la NSA d’avoir pirat son universit de recherche militaire pour voler des donnes