L’importance de DoH et DoT
StormBamboo, acteur malveillant chinois et connu sous plusieurs autres noms, a réussi à compromettre un fournisseur d’accès internet. De là, il a pu diffuser des mises à jour vérolées à des entreprises, grâce à un empoisonnement DNS. Ce piratage s’est déroulé l’année dernière, mais n’a été révélé que récemment par la société de sécurité Volexity.
StormBamboo est connu sous plusieurs autres noms : Evasive Panda, StormCloud, Bronze Highland ou encore Daggerfly. Il sévit depuis au moins 2012 et est connu pour son utilisation intensive de portes dérobées. Fin juillet, il a été identifié par Symantec comme étant à l’origine de MgBot (POCOSTICK) et MACMA (malware macOS), dans une campagne visant plusieurs ONG taïwanaises et américaines.
Le groupe s’est fait une spécialité de la compromission d’entités pour atteindre son but. « StormBamboo est un acteur très compétent et agressif qui compromet des tiers (dans ce cas, un fournisseur d’accès à Internet) pour atteindre les cibles visées », affirme ainsi Volexity dans son rapport.
La société de sécurité met en avant un autre fait d’arme de StormBamboo. Les pirates ont réussi l’année dernière à s’infiltrer dans un fournisseur d’accès, qui n’a pas été nommé (on ne sait même pas dans quel pays). Grâce à un empoisonnement DNS, les pirates ont ensuite pu distribuer de fausses mises à jour pour certaines applications. Elles contenaient du code malveillant, permettant de déclencher ensuite des attaques contre une série d’entreprises.
Des mises à jour automatiques et contaminées
Selon Volexity, les pirates ont dû prendre le contrôle de routeurs et/ou d’équipements semblables chez le fournisseur visé. De là, ils ont empoisonné les réponses DNS, détournant des noms d’hôtes légitimes vers des domaines qu’ils contrôlaient.
À partir de ce moment, ils ont pu mener des attaques MitM (man-in-the-middle, attaque de l’homme du milieu), leur permettant de rediriger les demandes de mises à jour de plusieurs applications vers des charges malveillantes. Ces applications sont présentes sur Windows, macOS ou les deux : 5KPlayer, Quick Heal, Rainmeter, Partition Wizard, ainsi que des logiciels de Corel et Sogou.
Volexity note que ces processus de mises à jour n’utilisent ni TLS ni de signature cryptographique. Les applications étaient donc dans l’incapacité d’authentifier quoi que ce soit, que ce soit le code téléchargé ou la connexion elle-même.
Ces redirections fonctionnaient même quand les postes étaient configurés avec des DNS publics non chiffrés comme 8.8.8.8 de Google ou 1.1.1.1 de Cloudflare. Pour déjouer l’attaque, il aurait fallu que les ordinateurs soient configurés avec DoH (DNS over HTTPS) ou DoT (DNS over TLS).
- Qu’est-ce que DNS over HTTPS (DoH), qu’est-ce que cela peut vous apporter ?
- DNS over HTTPS (DoH) : pour Stéphane Bortzmeyer, « le diable est dans les détails »
Windows ou macOS, chacun son malware
Dans le cas de 5KPlayer par exemple, lancer l’application ouvre une connexion HTTP non sécurisée pour vérifier la présence d’une nouvelle version du fichier Youtube.config. Grâce à l’empoisonnement DNS, les pirates ont redirigé cette recherche vers un fichier Youtube.config de leur cru. Ce dernier, une fois récupéré, provoquait le téléchargement d’une charge utile, un fichier exécutable déguisé en image PNG.
L’exécutable déguisé installait ensuite le malware proprement dit. Sur Windows, il s’agissait de POCOSTICK. Sur macOS, de MACMA. Le premier existe depuis au moins 2014. L’année dernière, la société de sécurité ESET avait indiqué dans un rapport que ce malware (qu’elle nommait MgBot), était l’apanage d’un groupe chinois de pirates, Evasive Panda (donc StormBamboo).
À l’époque, ESET estimait déjà que les contaminations étaient dues à des mises à jour frelatées. La question se posait alors de savoir s’il s’agissait d’une contamination de la chaine d’approvisionnement (si les éditeurs eux-mêmes avaient été piratés) ou d’attaques MitM. La réponse est maintenant connue.
MACMA, lui, a été évoqué pour la première fois en 2021 par le Threat Analysis Group de Google. Ce malware, écrit pour macOS et iOS, est une trousse à outils fournissant diverses capacités, dont le vol d’empreintes digitales sur l’appareil (quand possible), la prise de captures d’écran, le téléchargement de fichiers, l’exécution de commandes, l’enregistrement audio ou encore celui de la frappe au clavier.
D’autres techniques en parallèle
Selon Volexity, StormBamboo ne se contente pas de détourner le DNS pour des applications. Ils l’ont également fait, dans plusieurs cas, pour l’adresse www.msftconnecttest.com. Ce domaine est utilisé par Microsoft pour déterminer si les ordinateurs sont effectivement connectés à internet. En détournant l’adresse vers un serveur qu’ils contrôlent, les pirates ont la capacité d’intercepter des requêtes HTTP destinées à n’importe quel hôte.
Autre technique observée dans au moins une attaque récente visant les Mac, les pirates ont pu forcer macOS à télécharger et installer une extension pour Chrome. Nommée RELOADEXT, elle se déguise en extension authentique ayant pour mission de rendre le navigateur compatible avec des pages web conçues pour Internet Explorer. Selon Volexity, l’extension est installée après l’exploitation initiale. Son véritable but est de récupérer l’intégralité des cookies et de les envoyer sur un compte Google Drive tenu par les pirates.
Dans tous les cas, Volexity dit confirmer l’hypothèse initiale d’ESET sur le vecteur d’infection de POCOSTICK : il s’agissait bien d’attaques par l’homme du milieu. Toujours selon la société de sécurité, des attaques similaires sont en cours ailleurs, là encore sans plus de détails sur les infrastructures touchées ou leur pays de résidence.
Volexity ajoute qu’il est difficile actuellement de savoir si elles sont menées depuis des équipements contaminés chez d’autres fournisseurs d’accès ou dans les structures elles-mêmes. Selon les indices collectés ces dernières années, il semble que StormBamboo privilégie les attaques indirectes, mais la méthode n’est pas systématique.