Des cybercriminels introduisent une porte dérobée dans un logiciel utilisé par plus de 10 000 salles d'audience dans le monde

Comment une mise à jour de logiciel a ouvert la voie à une cyberattaque

Dans le dernier épisode d’une attaque d’approvisionnement, un fabricant de logiciels au service de plus de 10 000 salles d’audience dans le monde entier a hébergé une mise à jour d’application contenant une porte dérobée cachée qui maintenait une communication persistante avec un site Web malveillant. Cette attaque soulève des questions sur la sécurité des systèmes judiciaires et met en évidence les vulnérabilités potentielles dans les chaînes d’approvisionnement logicielles.

Le logiciel en question est le JAVS Viewer 8, un composant du JAVS Suite 8. Ce package d’application est utilisé par les tribunaux pour enregistrer, lire et gérer l’audio et la vidéo des procédures judiciaires. Le fabricant, Justice AV Solutions basé à Louisville, Kentucky, affirme que ses produits sont utilisés dans plus de 10 000 salles d’audience aux États-Unis et dans 11 autres pays. L’entreprise est en activité depuis 35 ans.

Des chercheurs de la société de sécurité Rapid7 ont signalé qu'une version de JAVS Viewer 8 disponible en téléchargement sur javs.com contenait une porte dérobée qui permettait à un cybercriminel d'avoir un accès permanent aux appareils infectés. Le téléchargement malveillant, placé dans un fichier exécutable qui installe la version 8.3.7 de JAVS Viewer, était disponible début avril, date à laquelle un message sur X (anciennement Twitter) l'a signalé. On ne sait pas exactement quand la version piratée a été retirée de la page de téléchargement de l'entreprise.

🚨Windows version of RustDoor alert!

📷The malware is being hosted on the official website of JAVS. The file is Viewer 8.3.7 Setup Executable - Version 8.3.7, and this file comes with a valid certificate. The Attacker has now developed a Windows version that merges with… https://t.co/Vi2sxZveGQ

— 𝓙𝓪𝓬𝓴2 (@2RunJack2) April 2, 2024

La porte dérobée

Justice AV Solutions (JAVS) est une société américaine spécialisée dans les solutions d'enregistrement audiovisuel numérique pour les salles d'audience. Selon le site web du vendeur, les technologies de JAVS sont utilisées dans les salles d'audience, les chambres et les salles de jury, les prisons et les établissements pénitentiaires, ainsi que dans les salles de conseil, d'audition et de conférence. Le site web de l'entreprise cite plus de 10 000 installations de ses technologies dans le monde entier.

JAVS Suite 8 est un portefeuille de logiciels d'enregistrement, de visualisation et de gestion audio/vidéo destinés aux organisations gouvernementales et aux entreprises. Le logiciel « JAVS Viewer » affecté est conçu pour ouvrir les médias et les fichiers journaux créés par d'autres logiciels de la suite JAVS. Il peut être téléchargé sur le site web du fournisseur et est livré sous la forme d'un programme d'installation Windows qui demande des privilèges élevés lors de l'exécution.

Rapid7 a déterminé que les utilisateurs ayant installé JAVS Viewer v8.3.7 courent un risque élevé et doivent prendre des mesures immédiates. Cette version contient un programme d'installation rétroactif qui permet aux pirates de prendre le contrôle total des systèmes concernés. Il est essentiel de réimager complètement les terminaux concernés et de réinitialiser les informations d'identification associées afin de s'assurer que les attaquants n'ont pas persisté par le biais de portes dérobées ou d'informations d'identification volées. Les utilisateurs doivent installer la dernière version de JAVS Viewer (8.3.8 ou supérieure) après avoir réimagé les systèmes concernés. Ces résultats ont été identifiés lors d'une enquête menée par les analystes de Rapid7.

Le vendredi 10 mai 2024, Rapid7 a ouvert une enquête sur un incident impliquant l'exécution d'un binaire nommé fffmpeg.exe à partir du chemin de fichier C:\NProgram Files (x86)\NJAVS\NViewer 8. L'enquête a permis de remonter jusqu'au téléchargement d'un binaire nommé JAVS Viewer Setup 8.3.7.250-1.exe qui a été téléchargé à partir du site officiel de JAVS le 5 mars. L'analyse du programme d'installation JAVS Viewer Setup 8.3.7.250-1.exe a montré qu'il portait une signature Authenticode inattendue et contenait le binaire fffmpeg.exe. Au cours de l'enquête, Rapid7 a observé que des scripts PowerShell codés étaient exécutés par le binaire fffmpeg.exe.

Sur la base de renseignements provenant de sources ouvertes, Rapid7 a déterminé que le binaire fffmpeg.exe est associé à la famille de logiciels malveillants GateDoor/Rustdoor découverte par les chercheurs de la société de sécurité S2W. Le fichier exe a déjà été signalé par 45 moteurs de protection des points finaux.


Fonctionnement de la porte dérobée

Le fichier d’installation était intitulé “JAVS Viewer Setup 8.3.7.250-1.exe”. Lorsqu’il était exécuté, il copiait le fichier binaire “ffmpeg.exe” dans le chemin d’accès “C:\Program Files (x86)\JAVS\Viewer 8\”. Pour contourner les avertissements de sécurité, l’installateur était signé numériquement, mais avec une signature attribuée à une entité appelée “Vanguard Tech Limited” plutôt qu’à “Justice AV Solutions Inc.”, l’entité de signature utilisée pour authentifier les logiciels JAVS légitimes. “ffmpeg.exe” utilisait ensuite Windows Sockets et WinHTTP pour établir une communication avec un serveur de commande et de contrôle.

Une fois connecté avec succès, “ffmpeg.exe” envoyait au serveur les mots de passe collectés à partir des navigateurs et des informations sur l’hôte compromis, notamment le nom d’hôte, les détails du système d’exploitation, l’architecture du processeur, le répertoire de travail du programme et le nom d’utilisateur. De plus, “ffmpeg.exe” téléchargeait le fichier “chrome_installer.exe” depuis l’adresse IP 45.120.177.178. Ce fichier exécutable volait les mots de passe enregistrés dans les navigateurs.


Le spécialiste en cybersécurité a donné la chronologie suivante :

• 10 février 2024 : un certificat est émis pour le sujet Vanguard Tech Limited, dont le certificat indique qu'il est basé à Londres.
• 21 février 2024 : le premier des deux paquets malveillants JAVS Viewer est signé avec le certificat Vanguard.
• 2 avril 2024 : l'utilisateur de Twitter @2RunJack2 signale que des logiciels malveillants sont diffusés par la page officielle de téléchargement de JAVS. Il n'est pas précisé si le fournisseur a été informé.
• 12 mars 2024 : le deuxième des deux paquets malveillants JAVS Viewer est signé avec le certificat Vanguard.
• 10 mai 2024 : Rapid7 enquête sur une nouvelle alerte dans l'environnement d'un client de Managed Detection and Response. La source de l'infection est remontée jusqu'à un installateur téléchargé depuis le site officiel de JAVS. Le fichier malveillant téléchargé par la victime, le premier paquet Viewer, n'est pas accessible sur la page de téléchargement du fournisseur. On ne sait pas qui a retiré le paquet malveillant de la page de téléchargement (c'est-à-dire le vendeur ou l'acteur de la menace).
• 12 mai 2024 : Rapid7 découvre trois charges utiles malveillantes supplémentaires hébergées sur l'infrastructure C2 de l'acteur de la menace sur le port 8000 : chrome_installer.exe, firefox_updater.exe, et OneDriveStandaloneUpdater.exe.
• 13 mai 2024 : Rapid7 identifie un fichier d'installation non lié contenant des logiciels malveillants, le deuxième paquet Viewer, toujours servi par le site officiel du fournisseur. Cela confirme que le site du fournisseur était la source de l'infection initiale.
• 17 mai 2024 : Rapid7 découvre que l'acteur de la menace a retiré le binaire OneDriveStandaloneUpdater.exe de l'infrastructure C2 et l'a remplacé par un nouveau binaire, ChromeDiscovery.exe. Cela indique que l'acteur de la menace met activement à jour son infrastructure C2.

Moyens de mitigation

Les chercheurs ont averti que le processus de désinfection des dispositifs infectés nécessitera des précautions :
Conclusion

Cet incident est le dernier exemple en date d'une attaque de la chaîne d'approvisionnement, une technique qui altère un service ou un logiciel légitime dans le but d'infecter tous les utilisateurs en aval. Ce type d'attaque est généralement mené en piratant d'abord le fournisseur du service ou du logiciel. Il n'existe pas de moyen sûr d'éviter d'être victime d'une attaque de la chaîne d'approvisionnement, mais une mesure potentiellement utile consiste à vérifier un fichier à l'aide de VirusTotal avant de l'exécuter. Ce conseil aurait été utile aux utilisateurs de JAVS.

Cette attaque souligne l’importance de la sécurité des chaînes d’approvisionnement logicielles et met en garde contre les risques potentiels pour les systèmes judiciaires. Les tribunaux et les entreprises doivent rester vigilants et prendre des mesures pour protéger leurs logiciels contre de telles menaces.

Sources : chercheurs en sécurité, Virus Total

Et vous ?

Quelles mesures de sécurité supplémentaires les entreprises devraient-elles prendre pour protéger leurs chaînes d’approvisionnement logicielles ?
Comment les tribunaux peuvent-ils garantir l’intégrité et la sécurité des logiciels utilisés dans leurs procédures judiciaires ?
Pensez-vous que les attaques d’approvisionnement sont sous-estimées et qu’elles pourraient avoir un impact plus large sur la société ?
Quelles sont les conséquences potentielles pour les utilisateurs des logiciels compromis, en particulier dans le contexte des tribunaux et de la justice ?
Existe-t-il des alternatives aux logiciels propriétaires utilisés dans les tribunaux qui pourraient réduire les risques d’attaques d’approvisionnement ?