Actualités de la sécurité

De nouvelles enquêtes sur l'incident CCleaner pointent vers l'existence d'un binaire de troisième étape avec des capacités de keylogger

Threat Intelligence Team, 8 mars 2018

L'activité a été détectée dans le réseau Piriform, mais pas sur les ordinateurs des utilisateurs de CCleaner.

Suite à l'incident CCleaner de l'an dernier, nous avons continué d'enquêter sur ce qui s'est passé et nous avons partagé nos dernières informations lors du Sommet des analystes de la sécurité qui s'est tenu aujourd'hui.

Pour récapituler la situation, nous avons révélé le 18 septembre 2017 que CCleaner avait été ciblé par des cybercriminels, afin de distribuer des malwares via le fichier d'installation de CCleaner. Le fichier d'installation corrompu a été téléchargé par 2,27 millions de clients CCleaner dans le monde entier. Le malware a été introduit sur le serveur de build de Piriform, la société derrière CCleaner, entre le 11 mars et le 4 juillet 2017, soit avant l'acquisition de Piriform par Avast le 18 juillet 2017.

La première étape du malware a été conçue pour recueillir des informations non sensibles auprès des utilisateurs de CCleaner, comme par exemple le nom de l'ordinateur, la liste des logiciels installés et une liste des processus en cours d'exécution. Cette première étape incluait des capacités de téléchargement, qui ont été utilisées pour télécharger un binaire de deuxième étape sur 40 ordinateurs seulement sur les millions d'appareils infectés par la première étape, ce qui en fait une attaque très ciblée. Jusqu'à présent, nous n'avons aucune preuve qu'un binaire de troisième étape a été téléchargé sur les ordinateurs concernés. Cependant, nous avons trouvé des traces d'activités qui pourraient indiquer à quoi aurait pu ressembler la troisième phase de l'attaque.

Pour éliminer la menace du réseau Piriform, nous avons migré l'environnement de build Piriform vers l'infrastructure Avast, remplacé tout le matériel et transféré tout le personnel Piriform sur le système informatique interne d'Avast. Nous avons consolidé et examiné l'infrastructure et les ordinateurs de Piriform, sur lesquels nous avons trouvé des versions préliminaires des binaires de la première et deuxième étape. Sur ces derniers, nous avons détecté la présence d'un outil spécialisé installé sur quatre ordinateurs Piriform : ShadowPad, qui est utilisé par un groupe spécifique de cybercriminels.

ShadowPad est une plateforme de cyberattaque que les cybercriminels déploient dans les réseaux des victimes pour obtenir des capacités de contrôle à distance et qui a déjà fait l'objet d'analyses dans le passé. L'outil a été installé sur les quatre ordinateurs Piriform le 12 avril 2017, tandis que la version préliminaire de la deuxième étape avait été installée sur les ordinateurs le 12 mars 2017.

L'ancienne version du téléchargeur de l'étape deux contactait les serveurs CnC, mais les serveurs ne fonctionnaient plus au moment où nous avons mis la main sur les ordinateurs, de sorte que nous ne pouvons pas dire avec certitude ce qu'ils étaient censés télécharger. Cependant, étant donné la chronologie des événements, nous supposons que le téléchargeur préliminaire de l'étape deux a installé ShadowPad sur les quatre ordinateurs Piriform. Un autre indice qui nous conduit à cette hypothèse est que ShadowPad est considéré comme un produit du groupe de pirates chinois Axiom, que l'on soupçonne à l'origine de l'attaque CCleaner. Le lien entre Axiom et l'attaque CCleaner a été dévoilé en premier lieu par le chercheur en sécurité Constin Raiu.

ShadowPad_2.png

Des plugins ShadowPad trouvés sur les ordinateurs Piriform

Nous avons également trouvé des fichiers journaux ShadowPad contenant les frappes chiffrées d'un keylogger installé sur les ordinateurs. Nous avons découvert que le journal du keylogger était chiffré avec l'identifiant du volume du disque dur et que, par conséquent, il était capable de déchiffrer les frappes des touches. En examinant le journal, nous avons découvert que le keylogger était actif depuis le 12 avril 2017, enregistrant les frappes sur ces ordinateurs, y compris les keylogs de Visual Studio et d'autres programmes. Les données enregistrées nous ont montré que le keylogger était fonctionnel à l'époque. La version de l'outil ShadowPad a été développée sur mesure, ce qui nous fait penser qu'elle a été conçue explicitement pour Piriform.

logged_keystrokes.png

Des frappes enregistrées trouvées sur les ordinateurs Piriforms

En installant un outil comme ShadowPad, les cybercriminels ont pu contrôler le système à distance tout en recueillant des informations d'identification et des données à propos des opérations sur l'ordinateur ciblé. Outre l'outil keylogger, d'autres outils ont été installés sur les quatre ordinateurs, y compris un voleur de mots de passe, et des outils permettant d'installer d'autres logiciels et plugins sur l'ordinateur ciblé à distance.

ShadowPad a été installé sur le réseau Piriform et, d'après nos enquêtes menées jusqu'à aujourd'hui, il n'a pas été installé sur les ordinateurs des clients de CCleaner. Nous pensons toutefois qu'il s'agissait de la troisième étape prévue pour les clients de CCleaner. Alors que jusqu'à 2,27 millions d'utilisateurs CCleaner et d'entreprises avaient téléchargé le produit CCleaner infecté, les attaquants ont installé la deuxième étape malveillante sur 40 ordinateurs seulement sur les millions exploités par les entreprises de haute technologie et de télécommunications. Nous n'avons pas d'échantillon d'une éventuelle troisième étape qui aurait pu être distribuée via l'attaque CCleaner et nous n'avons pas réussi à déterminer si les attaquants avaient pour objectif d'attaquer les 40 ordinateurs, certains d'entre eux ou aucun. Nous continuons d'enquêter sur les données reliquats des ordinateurs et nous publierons une mise à jour dès que nous en saurons plus.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour connaître toutes les dernières actualités, suivez-nous sur FacebookTwitter et Google+.