Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Les malwares dissimulés dans les logiciels obligatoires en Chine sont plus nombreux qu'on ne le pensait
    Une banque chinoise a exigé de deux sociétés occidentales qu'elles utilisent un logiciel de taxe avec une porte dérobée dissimulée,
    Selon un nouveau rapport

    Une grande entreprise technologique multinationale a appris à ses dépens, plus tôt cette année, les risques liés à l'exercice d'une activité commerciale en Chine. L’entreprise a eu une mauvaise surprise alors qu'elle étendait ses activités à la Chine. Le logiciel qu'une banque locale a demandé à l'entreprise d'installer pour pouvoir payer les impôts locaux contenait une porte dérobée avancée, selon un rapport publié jeudi dernier par Trustwave, une société de sécurité de l’information. Une autre société occidentale, une grande institution financière qui a récemment ouvert en Chine, est également concernée. Trustwave n’a pas nommé les sociétés impliquées dans l’incident.

    La porte dérobée très sophistiquée, que le fournisseur de cybersécurité a baptisée GoldenSpy, a été trouvée dans le logiciel fiscal officiel d'une banque chinoise, que l’institution financière a obligé ces entreprises occidentales à installer, selon le rapport. Le spyware donnait aux attaquants un accès complet au réseau des entreprises ciblées. Selon Brian Hussey, ancien cyberspécialiste du FBI et vice-président de Trustwave chargé de la détection des menaces et de la réaction, c'est le dernier exemple en date de la manière dont les entreprises et les particuliers doivent être particulièrement vigilants lorsqu'ils opèrent en Chine.


    « Les discussions avec notre client ont révélé que [le malware] faisait partie du logiciel fiscal requis par leur banque », a déclaré Trustwave. « Ils nous ont informés que lors de l'ouverture de leurs opérations en Chine, leur banque chinoise locale leur a demandé d'installer un logiciel appelé Intelligent Tax, produit par le Golden Tax Department de la société Aisino, pour le paiement des impôts locaux ». « Si vous menez des opérations en Chine et si quelqu'un vous demande d'installer quelque chose, nous vous demandons de faire preuve d'une vigilance accrue », a déclaré Hussey.

    Selon les détails de l’incident et l'avertissement donné dans son rapport, Trustwave a indiqué que le logiciel Intelligent Tax produit par la société basée à Pékin, a fonctionné comme attendu. Cependant, en coulisses, il a également installé un programme distinct qui permettait secrètement à ses créateurs d'exécuter à distance les commandes ou les logiciels de leur choix sur l'ordinateur infecté. Il était également signé numériquement par un certificat de confiance de Windows, selon le rapport.

    Le fournisseur de cybersécurité a déclaré avoir identifié le spyware après avoir observé des requêtes suspectes provenant du réseau de son client. GolgenSpy est devenu actif en avril et, selon la société de cybersécurité, le logiciel espion s'est activé deux heures après l'installation du logiciel de taxe, installant secrètement une porte dérobée qui permettait aux attaquants d'installer d'autres logiciels malveillants sur le réseau.

    Les chercheurs de Trustwave ont également trouvé que le logiciel malveillant s'est connecté à un serveur de contrôle situé sur ningzhidata[.]com, un domaine que les chercheurs ont déclaré être connu pour héberger d'autres variantes du malware.

    Les fonctionnalités de la porte dérobée GoldenSpy

    Selon les chercheurs, la porte dérobée comprenait une variété de fonctionnalités avancées conçues pour obtenir un accès profond, secret et persistant aux ordinateurs infectés. Selon le rapport, les fonctionnalités sont les suivantes :

    • GoldenSpy installe deux versions identiques de lui-même, toutes deux en tant que services de démarrage automatique persistant. Si l'une d'entre elles s'arrête de fonctionner, l'autre se lancera. De plus, il utilise un module de protection exe qui surveille l’état de suppression des deux copies. Si la dernière copie est supprimée, le module téléchargera et exécutera une nouvelle version. Cette triple protection rend en effet extrêmement difficile la suppression de ce fichier d'un système infecté.
    • La fonction de désinstallation du logiciel Intelligent Tax ne désinstallera pas GoldenSpy. Il laisse GoldenSpy fonctionner comme une porte dérobée ouverte sur l'environnement, même après que le logiciel fiscal ait été entièrement supprimé.
    • GoldenSpy n'est téléchargé et installé que deux heures après la fin du processus d'installation du logiciel fiscal. Le logiciel malveillant s’installe en silence, sans aucune notification sur le système. Ce long délai avant installation est très inhabituel et constitue une méthode pour se cacher de la victime.
    • GoldenSpy ne contacte pas l'infrastructure réseau du logiciel fiscal (i-xinnuo[.]com), mais plutôt ningzhidata[.]com, un domaine connu pour héberger d'autres variantes du malware GoldenSpy. Après les trois premières tentatives de contact avec son serveur de commande et de contrôle, il randomise les temps de balises. Il s'agit d'une méthode connue pour éviter les technologies de sécurité des réseaux conçues pour identifier les logiciels malveillants de balisage.
    • GoldenSpy fonctionne avec des privilèges de niveau SYSTÈME, ce qui le rend très dangereux et capable d'exécuter n'importe quel logiciel sur le système. Cela inclut des logiciels malveillants supplémentaires ou des outils d'administration Windows pour effectuer des reconnaissances, créer de nouveaux utilisateurs, augmenter les privilèges, etc.

    L’étendue de l’attaque au GoldenSpy non encore déterminée

    Si le rapport du jeudi indique que les chercheurs de Trustwave ont trouvé des variantes de GoldenSpy qui remontent à la fin de 2016, mais ils ne connaissent toujours pas la portée, le but ou les acteurs de la menace.

    « À ce stade, nous ne sommes pas en mesure de déterminer l'étendue de ce logiciel », ont dit les chercheurs dans leur rapport. « Nous connaissons actuellement un fournisseur de technologie/logiciel ciblé et un incident très similaire survenu dans une grande institution financière, mais cela pourrait être utilisé contre d'innombrables entreprises opérant et payant des impôts en Chine ou pourrait ne viser que quelques organisations sélectionnées ayant accès à des informations vitales », ont-ils ajouté.

    Trustwave a déclaré qu'il n'était pas en mesure de déterminer si la porte dérobée avait été développée par des pirates informatiques du gouvernement chinois, ajoutée secrètement par un des employés de la banque, ou créée par quelqu'un de la société Aisino et intégré à leur logiciel officiel afin d'espionner les sociétés étrangères. Il n’est pas clair aussi s'il s'agissait d'un incident où les pirates étaient uniquement intéressés par leur propre gain financier.

    Mais si Trustwave cherche toujours des réponses à certaines questions, en attendant, il tire la sonnette d'alarme pour toute autre entreprise faisant des affaires en Chine qui aurait installé le même logiciel. « Nous pensons que toute société opérant en Chine ou utilisant le logiciel Aisino Intelligent Tax devrait considérer cet incident comme une menace potentielle et devrait s'engager dans la chasse aux menaces, le confinement et les contre-mesures correctives, comme indiqué dans notre rapport technique », a déclaré Trustwave. « Nous demandons à tout le monde de vérifier s'ils sont touchés », recommandent les chercheurs.

    Les grandes puissances mondiales pratiquent l'espionnage numérique, utilisant des logiciels malveillants pour pénétrer les réseaux des entreprises et des gouvernements afin de recueillir subrepticement des informations. Les responsables américains ont accusé la Chine plusieurs fois de ne pas se contenter de voler des secrets de défense, mais de dérober également la propriété intellectuelle pour enrichir les entreprises chinoises.

    NBC News a rapporté jeudi dernier que l'entreprise de cybersécurité FireEye a signalé, en mars dernier, avoir observé une forte augmentation de l'espionnage cyberéconomique chinois alors que les relations entre les États-Unis et la Chine se détérioraient. En mai, les États-Unis ont accusé la Chine d'avoir piraté des recherches sur un vaccin contre le coronavirus, alors que tous les gouvernements cherchent des solutions pour freiner la propagation du virus. La Chine a toujours nié qu'elle se livre à l'espionnage économique de ses partenaires.

    Source : Trustwave

    Et vous ?

    Qu’en pensez-vous ?
    Quel commentaire faites-vous de cette stratégie d’espionnage ?
    Comment une entreprise faisant des affaires en Chine peut-elle éviter cette forme de cyberespionnage ?

    Voir aussi :

    Les États-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
    La guerre sous-marine : la Chine aurait emporté un trésor inestimable, en piratant le réseau privé d'un entrepreneur de la Navy
    La Chine a violé l'accord avec les USA où elle s'engage à ne pas lancer des cyberattaques à des fins d'espionnage économique, selon un responsable US
    Les USA accusent des entreprises chinoise et taïwanaise de vol de secrets industriels, à Micron Technology Inc., un fabricant US de micropuces
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Chroniqueur Actualités

    Les malwares dissimulés dans les logiciels obligatoires en Chine sont plus nombreux qu'on ne le pensait
    Les malwares dissimulés dans les logiciels obligatoires en Chine sont plus nombreux qu'on ne le pensait,
    D’après un nouveau rapport

    Trustwave, une société de sécurité de l’information, a eu un peu plus d’informations sur le malware GoldenSpy qu’elle a découvert dans un logiciel chinois de taxe en juin dernier. Entretemps, l'équipe SpiderLabs du fournisseur de cybersécurité a pris connaissance d'un autre logiciel de facturation du système Golden Tax de la Chine contenant un code malveillant qu’elle a baptisé GoldenHelper. Bien que ce nouveau malware soit fonctionnellement très différent de GoldenSpy, le mode de diffusion est très similaire, selon Trustwave. L’équipe a la preuve que cette autre campagne d'espionnage des contribuables chinois existait bien avant Goldenspy qui a fait l’objet d’un rapport il y a trois semaines.

    L'équipe Trustwave SpiderLabs a publié un rapport sur les menaces émergentes concernant la porte dérobée GoldenSpy, le 25 juin. Dans le rapport complet, la société a conclu que, bien qu’elle n’avait que peu d’information et qu’elle n’avait pas connaissance d'une attaque en cours, la porte dérobée présentait plusieurs caractéristiques qui pouvaient conduire à un compromis majeur. Comme indiqué dans le rapport, le logiciel malveillant GoldenSpy est installé dans le cadre du logiciel fiscal obligatoire produit par la société Aisino, l’une des organisations autorisées à produire des logiciels du programme Golden Tax du gouvernement chinois.


    GoldenSpy a été trouvée dans le logiciel fiscal officiel qu'une banque chinoise a obligé une multinationale occidentale de technologie à installer, selon le rapport. Le spyware donnait aux attaquants un accès complet au réseau des entreprises ciblées. Les créateurs de la porte pouvaient exécuter à distance les commandes ou les logiciels de leur choix sur un ordinateur infecté. GoldenSpy était également signé numériquement par un certificat de confiance de Windows, selon le rapport. Depuis lors, Trustwave SpiderLabs a mis son rapport à jour avec quelques détails sur GolgenSpy. L’équipe a découvert que le logiciel de taxation d’Aisino téléchargeait et exécutait un désinstallateur, supprimant ainsi toute trace du malware GoldenSpy.

    Le projet Golden Tax est un programme national en Chine, qui touche toutes les entreprises opérant dans ce pays. Il a été lancé pour centraliser la facturation de la taxe sur la valeur ajoutée, obliger les entreprises à payer leur taxe et lutter contre la fraude fiscale à l'aide d’un logiciel sophistiqué. Trustwave dit avoir la connaissance de deux organisations autorisées à produire le logiciel Golden Tax, Aisino et Baiwang. C'est maintenant le deuxième logiciel Golden Tax que Trustwave SpiderLabs a découvert comme contenant une porte dérobée cachée capable d'exécuter à distance du code arbitraire avec des privilèges de niveau SYSTEME.

    Le nouveau malware, le GoldenHelper (nom donné par Trustwave SpiderLabs), qui a pu se cacher pendant plus d’un an d’activité, a existé avant que GoldenSpy ne devienne actif. GoldenHelper était dissimulé dans le logiciel de facturation de Golden Tax, que toutes les entreprises enregistrées en Chine sont tenues d'utiliser pour payer la TVA. Selon le nouveau rapport de Trustwave, le logiciel malveillant est capable de contourner le contrôle des comptes d'utilisateur, le mécanisme de Windows qui exige que les utilisateurs donnent leur accord avant que le logiciel puisse installer des programmes ou apporter d'autres modifications au système, tout comme GoldenSpy. Une fois que cela est fait, GoldenHelper peut installer des modules avec des privilèges niveau système.

    Les caractéristiques du spyware GoldenHelper

    Selon le rapport, en plus du mode de diffusion très similaire avec GoldenSpy, GoldenHelper utilise d'autres astuces pour dissimuler son comportement malveillant et échapper à la détection des systèmes et logiciels de protection des points d'accès. Voici, ci-dessous, ces astuces découvertes par Trustwave :

    • Noms de fichiers générés de manière aléatoire
    • Horodatage aléatoire de la "création" et de la "dernière écriture"
    • Tentative de téléchargement de fichiers exécutables utilisant de faux noms de fichiers avec des extensions telles que .gif, .jpg et .zip
    • Une logique codée en dur qui utilise les données de consultation de domaine pour contrôler les emplacements de téléchargement, le contenu téléchargé et l'endroit où le contenu est placé
    • Utilisation d'un algorithme de génération de domaines basé sur IP pour changer l'emplacement des serveurs de commande à la volée.

    Ce malware utilise trois fichiers .dll différents, selon le rapport : un fichier .dll pour interfacer avec le logiciel Golden Tax, un autre pour contourner la sécurité Windows et augmenter les privilèges et un fichier {random_name} .DAT pour télécharger et exécuter du code arbitraire avec le privilège de niveau SYSTEME. L’équipe de Trustwave a schématisé le déroulement du processus d'installation de ce logiciel ci-dessous :

    Déroulement du processus d'exécution de GoldenHelper


    La campagne GoldenHelper est conçue pour télécharger et exécuter secrètement une charge utile finale appelée taxver.exe avec des privilèges de niveau SYSTÈME. La charge utile finale pourrait se trouver à plusieurs endroits dans le système de fichiers, selon le rapport. Mais contrairement à l'enquête sur GoldenSpy, les chercheurs de Trustwave n'ont pas encore trouvé d'échantillons de la charge utile finale installée par GoldenHelper. Trustwave demande à toute personne pouvant fournir un échantillon de le contacter.

    Chronologie de la campagne GoldenHelper

    Trustwave a déclaré que GoldenSpy avait été actif d'avril au mois de juin, lorsque la campagne a été brutalement interrompue suite au rapport de la société de sécurité. Tandis que, GoldenHelper a été actif de janvier 2018 à juillet 2019, une constatation qui montre que le logiciel de taxe héberge des logiciels malveillants depuis plus longtemps que ce que l'on savait auparavant. GoldenHelper a été signé numériquement à l'aide d'un certificat de confiance Windows délivré à NouNou Technologies, une filiale d'Aisino Corporation, la même société responsable du logiciel fiscal contenant le malware GoldenSpy.

    Dans certains cas, les banques déploient le logiciel Golden Tax en tant que système autonome, selon Trustwave. Plusieurs personnes ont déclaré à la société avoir reçu un véritable ordinateur Windows 7 (édition familiale) avec ce logiciel Golden Tax (et GoldenHelper) préinstallé et prêt à l'emploi. La découverte de GoldenHelper montre également que GoldenSpy n'était pas une campagne ponctuelle, mais plutôt une campagne qui utilisait au moins un autre logiciel malveillant sur une période plus longue que celle connue jusqu'alors.

    Calendrier de la campagne GoldenHelper


    Trustwave SpiderLabs ne pense pas que la campagne GoldenHelper soit actuellement active. L’équipe ne sait pas non plus pourquoi GoldenHelper a été fermé aussi brusquement. Trustwave suppose que ses opérateurs ont abandonné le projet après que les taux de détection aient augmenté, passant d'environ trois en janvier 2019 à 29 en mars. Cependant, bien que ce mécanisme de déploiement de taxver.exe ne semble plus être actif, il est important de comprendre que taxver.exe peut toujours être une menace active et opérationnelle sur d'innombrables réseaux de victimes, selon le rapport.

    Source : Trustwave

    Et vous ?

    Qu’en pensez-vous ?
    Que pensez-vous de cette forme d’espionnage chinois associée à des logiciels officiels ?

    Voir aussi :

    Une banque chinoise a exigé de deux sociétés occidentales qu'elles utilisent un logiciel de taxe avec une porte dérobée dissimulée, selon un nouveau rapport
    La Chine a violé l'accord avec les USA où elle s'engage à ne pas lancer des cyberattaques à des fins d'espionnage économique, selon un responsable US
    La guerre sous-marine : la Chine aurait emporté un trésor inestimable, en piratant le réseau privé d'un entrepreneur de la Navy
    Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

###raw>template_hook.ano_emploi###