La porte dérobée très sophistiquée, que le fournisseur de cybersécurité a baptisée GoldenSpy, a été trouvée dans le logiciel fiscal officiel d'une banque chinoise, que l’institution financière a obligé ces entreprises occidentales à installer, selon le rapport. Le spyware donnait aux attaquants un accès complet au réseau des entreprises ciblées. Selon Brian Hussey, ancien cyberspécialiste du FBI et vice-président de Trustwave chargé de la détection des menaces et de la réaction, c'est le dernier exemple en date de la manière dont les entreprises et les particuliers doivent être particulièrement vigilants lorsqu'ils opèrent en Chine.
« Les discussions avec notre client ont révélé que [le malware] faisait partie du logiciel fiscal requis par leur banque », a déclaré Trustwave. « Ils nous ont informés que lors de l'ouverture de leurs opérations en Chine, leur banque chinoise locale leur a demandé d'installer un logiciel appelé Intelligent Tax, produit par le Golden Tax Department de la société Aisino, pour le paiement des impôts locaux ». « Si vous menez des opérations en Chine et si quelqu'un vous demande d'installer quelque chose, nous vous demandons de faire preuve d'une vigilance accrue », a déclaré Hussey.
Selon les détails de l’incident et l'avertissement donné dans son rapport, Trustwave a indiqué que le logiciel Intelligent Tax produit par la société basée à Pékin, a fonctionné comme attendu. Cependant, en coulisses, il a également installé un programme distinct qui permettait secrètement à ses créateurs d'exécuter à distance les commandes ou les logiciels de leur choix sur l'ordinateur infecté. Il était également signé numériquement par un certificat de confiance de Windows, selon le rapport.
Le fournisseur de cybersécurité a déclaré avoir identifié le spyware après avoir observé des requêtes suspectes provenant du réseau de son client. GolgenSpy est devenu actif en avril et, selon la société de cybersécurité, le logiciel espion s'est activé deux heures après l'installation du logiciel de taxe, installant secrètement une porte dérobée qui permettait aux attaquants d'installer d'autres logiciels malveillants sur le réseau.
Les chercheurs de Trustwave ont également trouvé que le logiciel malveillant s'est connecté à un serveur de contrôle situé sur ningzhidata[.]com, un domaine que les chercheurs ont déclaré être connu pour héberger d'autres variantes du malware.
Les fonctionnalités de la porte dérobée GoldenSpy
Selon les chercheurs, la porte dérobée comprenait une variété de fonctionnalités avancées conçues pour obtenir un accès profond, secret et persistant aux ordinateurs infectés. Selon le rapport, les fonctionnalités sont les suivantes :
- GoldenSpy installe deux versions identiques de lui-même, toutes deux en tant que services de démarrage automatique persistant. Si l'une d'entre elles s'arrête de fonctionner, l'autre se lancera. De plus, il utilise un module de protection exe qui surveille l’état de suppression des deux copies. Si la dernière copie est supprimée, le module téléchargera et exécutera une nouvelle version. Cette triple protection rend en effet extrêmement difficile la suppression de ce fichier d'un système infecté.
- La fonction de désinstallation du logiciel Intelligent Tax ne désinstallera pas GoldenSpy. Il laisse GoldenSpy fonctionner comme une porte dérobée ouverte sur l'environnement, même après que le logiciel fiscal ait été entièrement supprimé.
- GoldenSpy n'est téléchargé et installé que deux heures après la fin du processus d'installation du logiciel fiscal. Le logiciel malveillant s’installe en silence, sans aucune notification sur le système. Ce long délai avant installation est très inhabituel et constitue une méthode pour se cacher de la victime.
- GoldenSpy ne contacte pas l'infrastructure réseau du logiciel fiscal (i-xinnuo[.]com), mais plutôt ningzhidata[.]com, un domaine connu pour héberger d'autres variantes du malware GoldenSpy. Après les trois premières tentatives de contact avec son serveur de commande et de contrôle, il randomise les temps de balises. Il s'agit d'une méthode connue pour éviter les technologies de sécurité des réseaux conçues pour identifier les logiciels malveillants de balisage.
- GoldenSpy fonctionne avec des privilèges de niveau SYSTÈME, ce qui le rend très dangereux et capable d'exécuter n'importe quel logiciel sur le système. Cela inclut des logiciels malveillants supplémentaires ou des outils d'administration Windows pour effectuer des reconnaissances, créer de nouveaux utilisateurs, augmenter les privilèges, etc.
L’étendue de l’attaque au GoldenSpy non encore déterminée
Si le rapport du jeudi indique que les chercheurs de Trustwave ont trouvé des variantes de GoldenSpy qui remontent à la fin de 2016, mais ils ne connaissent toujours pas la portée, le but ou les acteurs de la menace.
« À ce stade, nous ne sommes pas en mesure de déterminer l'étendue de ce logiciel », ont dit les chercheurs dans leur rapport. « Nous connaissons actuellement un fournisseur de technologie/logiciel ciblé et un incident très similaire survenu dans une grande institution financière, mais cela pourrait être utilisé contre d'innombrables entreprises opérant et payant des impôts en Chine ou pourrait ne viser que quelques organisations sélectionnées ayant accès à des informations vitales », ont-ils ajouté.
Trustwave a déclaré qu'il n'était pas en mesure de déterminer si la porte dérobée avait été développée par des pirates informatiques du gouvernement chinois, ajoutée secrètement par un des employés de la banque, ou créée par quelqu'un de la société Aisino et intégré à leur logiciel officiel afin d'espionner les sociétés étrangères. Il n’est pas clair aussi s'il s'agissait d'un incident où les pirates étaient uniquement intéressés par leur propre gain financier.
Mais si Trustwave cherche toujours des réponses à certaines questions, en attendant, il tire la sonnette d'alarme pour toute autre entreprise faisant des affaires en Chine qui aurait installé le même logiciel. « Nous pensons que toute société opérant en Chine ou utilisant le logiciel Aisino Intelligent Tax devrait considérer cet incident comme une menace potentielle et devrait s'engager dans la chasse aux menaces, le confinement et les contre-mesures correctives, comme indiqué dans notre rapport technique », a déclaré Trustwave. « Nous demandons à tout le monde de vérifier s'ils sont touchés », recommandent les chercheurs.
Les grandes puissances mondiales pratiquent l'espionnage numérique, utilisant des logiciels malveillants pour pénétrer les réseaux des entreprises et des gouvernements afin de recueillir subrepticement des informations. Les responsables américains ont accusé la Chine plusieurs fois de ne pas se contenter de voler des secrets de défense, mais de dérober également la propriété intellectuelle pour enrichir les entreprises chinoises.
NBC News a rapporté jeudi dernier que l'entreprise de cybersécurité FireEye a signalé, en mars dernier, avoir observé une forte augmentation de l'espionnage cyberéconomique chinois alors que les relations entre les États-Unis et la Chine se détérioraient. En mai, les États-Unis ont accusé la Chine d'avoir piraté des recherches sur un vaccin contre le coronavirus, alors que tous les gouvernements cherchent des solutions pour freiner la propagation du virus. La Chine a toujours nié qu'elle se livre à l'espionnage économique de ses partenaires.
Source : Trustwave
Et vous ?
Qu’en pensez-vous ?
Quel commentaire faites-vous de cette stratégie d’espionnage ?
Comment une entreprise faisant des affaires en Chine peut-elle éviter cette forme de cyberespionnage ?
Voir aussi :
Les États-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
La guerre sous-marine : la Chine aurait emporté un trésor inestimable, en piratant le réseau privé d'un entrepreneur de la Navy
La Chine a violé l'accord avec les USA où elle s'engage à ne pas lancer des cyberattaques à des fins d'espionnage économique, selon un responsable US
Les USA accusent des entreprises chinoise et taïwanaise de vol de secrets industriels, à Micron Technology Inc., un fabricant US de micropuces