Des millions d’adresses IP restent infectes par un ver USB, mme aprs l’abandon de ses crateurs. Connu sous le nom de PlugX, ce malware a continu se propager de manire autonome, sans contrle externe, infectant des machines travers le monde. Les chercheurs ont dcouvert que le ver persiste sur des millions d’appareils, ce qui soulve des dilemmes quant savoir s’il faut le supprimer ou le laisser actif. Bien que des efforts aient t dploys pour intercepter le trafic malveillant, les dcisions sur la dsinfection restent complexes en raison des implications juridiques et de la possibilit de pertes de donnes lgitimes. Les chercheurs ont laiss aux autorits comptentes le soin de dcider de dsinfecter ou non les machines infectes, tout en proposant une assistance technique pour lancer le processus si ncessaire.
Selon des chercheurs, un ver USB dsormais abandonn, qui ouvre des portes drobes sur des appareils connects, a continu s’autoreproduire pendant des annes aprs que ses crateurs en ont perdu le contrle et reste actif sur des milliers, voire des millions, de machines. Le ver – qui a t dcouvert pour la premire fois dans un article publi en 2023 par l’entreprise de scurit Sophos – est devenu actif en 2019 lorsqu’une variante du logiciel malveillant connu sous le nom de PlugX a ajout une fonctionnalit qui lui permettait d’infecter automatiquement les lecteurs USB. leur tour, ces cls infectaient toute nouvelle machine laquelle elles taient connectes, ce qui permettait au logiciel malveillant de se propager sans ncessiter d’interaction de la part de l’utilisateur final. Les chercheurs qui ont suivi PlugX depuis au moins 2008 ont dclar que le logiciel malveillant provenait de Chine et avait t utilis par divers groupes lis au ministre de la scurit de l’tat de ce pays.
PlugX est un malware porte drobe assez courant (un RAT, cheval de Troie d’accs distance) d’origine chinoise, qui s’appuie sur le chargement latral de DLL pour accomplir sa sale besogne. Sophos crit son sujet depuis des annes. Mme la version USB-aware, qui peut la fois se propager via USB et s’emparer d’informations partir de rseaux ariens via USB, est dans le collimateur des dfenseurs depuis plusieurs annes. Cependant, de nouvelles variantes sont apparues rgulirement ces dernires annes, parfois dans des endroits remarquablement loigns.
Le premier aperu de la dernire variante du ver provient d’une alerte CryptoGuard probablement dclenche par l’exfiltration de donnes. (L’infection comprend un excutable propre (AvastSvc.exe) susceptible de recevoir des DLL en sideloading ; plusieurs instances d’une DLL malveillante (wsc.dll) en sideloading dans le clean loader ; une charge utile .dat chiffre ; et (dans un rpertoire appel RECYCLER.BIN) une collection de fichiers vols et chiffrs avec des noms obfusqus en base64 :
Par des circonstances mystrieuses, le crateur du ver a abandonn l’unique adresse IP servant de canal de commande et de contrle. Avec personne pour surveiller les machines infectes, le ver PlugX semblait tre mort, du moins en thorie. Cependant, selon les chercheurs de la socit de scurit Sekoia, le ver est rest actif sur un nombre inconnu de machines, potentiellement plusieurs millions.
Les chercheurs ont pris l’initiative d’acheter cette adresse IP et ont mis en place leur propre infrastructure serveur pour « sinkholer » le trafic, c’est–dire intercepter les communications afin de les empcher d’tre exploites des fins malveillantes. Depuis lors, leur serveur reoit quotidiennement du trafic PlugX provenant de 90 000 100 000 adresses IP uniques. En six mois, ils ont rpertori des requtes provenant de prs de 2,5 millions d’adresses IP uniques. Bien que le nombre d’adresses IP ne corresponde pas directement au nombre de machines infectes, le volume indique nanmoins que le ver reste actif sur des milliers, voire des millions, d’appareils.
Felix Aim et Charles, chercheurs chez Sekoia, ont partag : Nous nous attendions initialement ce que le nombre de victimes connectes ce ver soit similaire nos expriences antrieures, mais l’installation d’un simple serveur web a rvl un flux constant de requtes HTTP, variant selon l’heure du jour. Ils ont galement not que d’autres variantes du ver sont encore actives via au moins trois autres canaux de commande et de contrle connus dans le domaine de la scurit, bien qu’il semble qu’un de ces canaux ait t galement « sinkhol ». Comme le montre l’image ci-dessous, les machines qui signalent le gouffre ont une large rpartition gographique :
Les chercheurs ont crit : Ces donnes rvlent qu’une quinzaine de nations comptent pour plus de 80 % de toutes les infections. De plus, il est intressant de noter que les pays les plus touchs ne partagent pas beaucoup de similarits, une tendance observe avec des vers USB prcdents comme RETADUP, o les taux d’infection les plus levs taient concentrs dans des pays de langue espagnole. Ceci suggre que ce ver pourrait avoir merg partir de plusieurs points de dpart dans diffrents pays.
L’une des explications est que la plupart des concentrations les plus importantes se trouvent dans des pays ctiers o le gouvernement chinois a ralis des investissements considrables dans les infrastructures. En outre, bon nombre des pays les plus touchs ont une importance stratgique pour les objectifs militaires chinois. Les chercheurs supposent que le but de la campagne tait de recueillir des renseignements que le gouvernement chinois pourrait utiliser pour atteindre ces objectifs.
Les chercheurs ont not que le ver zombie restait susceptible d’tre repris par tout acteur de menace qui prendrait le contrle de l’adresse IP ou parviendrait s’insrer dans la voie de communication entre le serveur cette adresse et un appareil infect. Cette menace pose des dilemmes intressants aux gouvernements des pays touchs. Ils peuvent choisir de maintenir le statu quo en ne prenant aucune mesure ou d’activer une commande d’autodestruction intgre au ver qui dsinfecterait les machines infectes. En outre, s’ils choisissent cette dernire option, ils peuvent dcider de ne dsinfecter que la machine infecte ou d’ajouter une nouvelle fonctionnalit pour dsinfecter toutes les cls USB infectes qui seraient connectes.
En mars 2023, Sophos a publi un article intitul « A border-hopping PlugX USB worm takes its act on the road » mettant en lumire une variante de PlugX avec des capacits de ver. Cette variante, cre en 2020, visait se propager via des cls USB compromises, contourner les trous d’air, infecter des rseaux non orients vers l’internet et y voler des documents. Selon l’article de blog de Sophos, tous ces chantillons PlugX communiquent avec une seule adresse IP, 45.142.166[.]112 hberge par GreenCloud.
En septembre 2023, nous avons russi prendre possession de cette adresse IP afin de faire tomber ce botnet. Nous pensions initialement que nous aurions quelques milliers de victimes connectes ce botnet, comme c’est le cas pour nos sinkholes habituels. Cependant, en installant un simple serveur web, nous avons constat un flux continu de requtes HTTP variant selon l’heure de la journe , Sekoia.
Lorganisation ajoute, Face cette situation, nous avons opt pour l’enregistrement des requtes reues dans une base de donnes afin de tracer l’tendue des infections. Chaque jour depuis septembre 2023, entre 90 000 et 100 000 adresses IP uniques envoient des requtes PlugX distinctes notre serveur sinkhole. Bien que le botnet puisse tre considr comme « inerte » car ses oprateurs ne l’ont plus sous contrle, toute personne ayant la capacit d’intercepter ou de prendre possession de ce serveur peut mettre des commandes arbitraires l’hte infect, le raffectant ainsi des activits malveillantes.
PlugX, une ancienne cyberarme dans l’arsenal chinois
La premire version connue de PlugX a t observe pour la premire fois lors d’une campagne chinoise ciblant des utilisateurs lis au gouvernement et une organisation spcifique au Japon, qui a dbut en 2008 selon Trend Micro. Elle a t principalement dploye contre des victimes situes en Asie jusqu’en 2012, puis a progressivement largi son groupe de cibles des entits occidentales. La plupart du temps, PlugX est charg l’aide d’un schma de chargement latral de DLL dans lequel un excutable lgitime charge une DLL malveillante – ou corrige – qui va ensuite mapper et excuter en mmoire le composant principal de PlugX, qui rside dans un blob binaire chiffr sur le systme de fichiers [T1574.002].
L’interface de gestion de PlugX permet l’oprateur de grer plusieurs htes infects avec des fonctionnalits couramment observes dans de telles portes drobes, telles que l’excution de commandes distance, le tlchargement de fichiers, l’exploration du systme de fichiers, l’acquisition de donnes dans le contexte de l’excution, etc. Cette porte drobe, initialement dveloppe par Zhao Jibin (alias WHG), a volu au fil du temps en diffrentes variantes. Le constructeur de PlugX a t partag par plusieurs groupes d’intrusion, la plupart d’entre eux tant attribus des socits crans lies au ministre chinois de la scurit de l’tat.
L’ajout d’un lment de propagation PlugX : Quand les choses tournent mal
En juillet 2020, selon plusieurs chercheurs, les oprateurs l’origine de l’intrusion Mustang Panda ont eu la (mauvaise) ide d’ajouter un lment de propagation PlugX, peut-tre pour cibler plusieurs pays au cours d’une mme campagne ou pour tendre ses capacits en atteignant des rseaux non connects afin de voler des fichiers sur des postes de travail non connects, mais infects.
Ce composant vermoulu infecte les cls USB connectes en y ajoutant un fichier de raccourci Windows portant le nom de la cl USB infecte et une triade de chargement latral de DLL (excutable lgitime, DLL malveillante et blob binaire) dans le dossier cach du lecteur RECYCLER.BIN. Le contenu lgitime des priphriques USB est dplac dans un nouveau rpertoire dont le nom est le caractre espace inscable (code ascii hexadcimal : 0xA0).
En ce qui concerne le ver USB Raspberry Robin, lorsqu’un utilisateur ouvre le priphrique USB, seul un raccourci portant le nom du priphrique USB lui est prsent, l’incitant cliquer dessus. En cliquant sur le raccourci, la chane d’infection PlugX est excute. PlugX commence par fermer la fentre actuelle et en rouvrir une nouvelle dans le rpertoire (nomm 0xA0 comme indiqu prcdemment) contenant les fichiers lgitimes.
Ensuite, il se copie sur l’hte dans %userprofile%/AvastSvcpCP/, et active sa persistance en crant une nouvelle cl sous HKCU[…]\NCurrentVersion\NRun registry Key. Enfin, il s’excute nouveau partir de l’hte avant de se terminer. Une fois excut partir de l’hte, le composant ver de cette variante de PlugX vrifie toutes les 30 secondes la connexion d’un nouveau lecteur flash pour l’infecter automatiquement.
La persistance du ver USB PlugX, malgr l’abandon de ses crateurs, soulve des questions cruciales sur la gestion de la scurit informatique l’re numrique. Tout d’abord, cela met en lumire les dfis auxquels sont confrontes les autorits et les chercheurs en matire de lutte contre les menaces persistantes, mme aprs que leurs origines aient cess de les contrler. Cette situation met en vidence la ncessit d’une collaboration internationale renforce pour contrer de telles menaces, car elles ne respectent pas les frontires nationales.
De plus, le dilemme de savoir s’il faut supprimer ou laisser actif le ver soulve des proccupations thiques et pratiques. D’une part, laisser le ver actif expose les utilisateurs des risques potentiels de scurit, avec la possibilit que leurs donnes personnelles soient compromises ou que leurs appareils soient utiliss des fins malveillantes. D’autre part, la dsinfection des appareils infects peut entraner la perte de donnes lgitimes et poser des problmes juridiques, en particulier lorsqu’elle est ralise grande chelle et sans le consentement des propritaires des appareils.
La dcision de laisser les autorits comptentes dcider de la dsinfection est sage, car cela permet de prendre en compte les implications juridiques et les considrations thiques tout en s’assurant que les mesures appropries sont prises pour protger les utilisateurs contre les menaces persistantes. Cependant, cela soulve galement des questions sur la coordination et la ractivit des autorits comptentes, ainsi que sur leur capacit cooprer efficacement avec les chercheurs en scurit informatique.
En fin de compte, cette situation met en lumire la ncessit d’une approche proactive et collaborative de la scurit informatique, qui intgre la fois la technologie, la rglementation et la coopration internationale pour faire face aux menaces mergentes et persistantes dans le paysage numrique en constante volution.
Source : Sekoia
Et vous ?
Quel est votre avis sur ce sujet ?
Quels sont les risques potentiels pour la scurit des utilisateurs lis la dcision de laisser le ver actif sur les millions d’appareils infects ?
Voir aussi :