Des millions d'adresses IP restent infectées par un ver USB des années après que ses créateurs l'ont abandonné, connu sous le nom de PlugX, ce ver persiste sur des millions d'appareils
Des millions d'adresses IP restent infectées par un ver USB, même après l'abandon de ses créateurs. Connu sous le nom de PlugX, ce malware a continué à se propager de manière autonome, sans contrôle externe, infectant des machines à travers le monde. Les chercheurs ont découvert que le ver persiste sur des millions d'appareils, ce qui soulève des dilemmes quant à savoir s'il faut le supprimer ou le laisser actif. Bien que des efforts aient été déployés pour intercepter le trafic malveillant, les décisions sur la désinfection restent complexes en raison des implications juridiques et de la possibilité de pertes de données légitimes. Les chercheurs ont laissé aux autorités compétentes le soin de décider de désinfecter ou non les machines infectées, tout en proposant une assistance technique pour lancer le processus si nécessaire.
Selon des chercheurs, un ver USB désormais abandonné, qui ouvre des portes dérobées sur des appareils connectés, a continué à s'autoreproduire pendant des années après que ses créateurs en ont perdu le contrôle et reste actif sur des milliers, voire des millions, de machines. Le ver - qui a été découvert pour la première fois dans un article publié en 2023 par l'entreprise de sécurité Sophos - est devenu actif en 2019 lorsqu'une variante du logiciel malveillant connu sous le nom de PlugX a ajouté une fonctionnalité qui lui permettait d'infecter automatiquement les lecteurs USB. À leur tour, ces clés infectaient toute nouvelle machine à laquelle elles étaient connectées, ce qui permettait au logiciel malveillant de se propager sans nécessiter d'interaction de la part de l'utilisateur final. Les chercheurs qui ont suivi PlugX depuis au moins 2008 ont déclaré que le logiciel malveillant provenait de Chine et avait été utilisé par divers groupes liés au ministère de la sécurité de l'État de ce pays.
PlugX est un malware à porte dérobée assez courant (un RAT, cheval de Troie d'accès à distance) d'origine chinoise, qui s'appuie sur le chargement latéral de DLL pour accomplir sa sale besogne. Sophos écrit à son sujet depuis des années. Même la version USB-aware, qui peut à la fois se propager via USB et s'emparer d'informations à partir de réseaux aériens via USB, est dans le collimateur des défenseurs depuis plusieurs années. Cependant, de nouvelles variantes sont apparues régulièrement ces dernières années, parfois dans des endroits remarquablement éloignés.
Le premier aperçu de la dernière variante du ver provient d'une alerte CryptoGuard probablement déclenchée par l'exfiltration de données. (L'infection comprend un exécutable propre (AvastSvc.exe) susceptible de recevoir des DLL en sideloading ; plusieurs instances d'une DLL malveillante (wsc.dll) en sideloading dans le clean loader ; une charge utile .dat chiffrée ; et (dans un répertoire appelé RECYCLER.BIN) une collection de fichiers volés et chiffrés avec des noms obfusqués en base64 :
Par des circonstances mystérieuses, le créateur du ver a abandonné l'unique adresse IP servant de canal de commande et de contrôle. Avec personne pour surveiller les machines infectées, le ver PlugX semblait être mort, du moins en théorie. Cependant, selon les chercheurs de la société de sécurité Sekoia, le ver est resté actif sur un nombre inconnu de machines, potentiellement plusieurs millions.
Les chercheurs ont pris l'initiative d'acheter cette adresse IP et ont mis en place leur propre infrastructure serveur pour "sinkholer" le trafic, c'est-à-dire intercepter les communications afin de les empêcher d'être exploitées à des fins malveillantes. Depuis lors, leur serveur reçoit quotidiennement du trafic PlugX provenant de 90 000 à 100 000 adresses IP uniques. En six mois, ils ont répertorié des requêtes provenant de près de 2,5 millions d'adresses IP uniques. Bien que le nombre d'adresses IP ne corresponde pas directement au nombre de machines infectées, le volume indique néanmoins que le ver reste actif sur des milliers, voire des millions, d'appareils.
Felix Aimé et Charles, chercheurs chez Sekoia, ont partagé : « Nous nous attendions initialement à ce que le nombre de victimes connectées à ce ver soit similaire à nos expériences antérieures, mais l'installation d'un simple serveur web a révélé un flux constant de requêtes HTTP, variant selon l'heure du jour. » Ils ont également noté que d'autres variantes du ver sont encore actives via au moins trois autres canaux de commande et de contrôle connus dans le domaine de la sécurité, bien qu'il semble qu'un de ces canaux ait été également "sinkholé". Comme le montre l'image ci-dessous, les machines qui signalent le gouffre ont une large répartition géographique :
Les chercheurs ont écrit : « Ces données révèlent qu'une quinzaine de nations comptent pour plus de 80 % de toutes les infections. De plus, il est intéressant de noter que les pays les plus touchés ne partagent pas beaucoup de similarités, une tendance observée avec des vers USB précédents comme RETADUP, où les taux d'infection les plus élevés étaient concentrés dans des pays de langue espagnole. Ceci suggère que ce ver pourrait avoir émergé à partir de plusieurs points de départ dans différents pays. »
L'une des explications est que la plupart des concentrations les plus importantes se trouvent dans des pays côtiers où le gouvernement chinois a réalisé des investissements considérables dans les infrastructures. En outre, bon nombre des pays les plus touchés ont une importance stratégique pour les objectifs militaires chinois. Les chercheurs supposent que le but de la campagne était de recueillir des renseignements que le gouvernement chinois pourrait utiliser pour atteindre ces objectifs.
Les chercheurs ont noté que le ver zombie restait susceptible d'être repris par tout acteur de menace qui prendrait le contrôle de l'adresse IP ou parviendrait à s'insérer dans la voie de communication entre le serveur à cette adresse et un appareil infecté. Cette menace pose des dilemmes intéressants aux gouvernements des pays touchés. Ils peuvent choisir de maintenir le statu quo en ne prenant aucune mesure ou d'activer une commande d'autodestruction intégrée au ver qui désinfecterait les machines infectées. En outre, s'ils choisissent cette dernière option, ils peuvent décider de ne désinfecter que la machine infectée ou d'ajouter une nouvelle fonctionnalité pour désinfecter toutes les clés USB infectées qui seraient connectées.
En mars 2023, Sophos a publié un article intitulé "A border-hopping PlugX USB worm takes its act on the road" mettant en lumière une variante de PlugX avec des capacités de ver. Cette variante, créée en 2020, visait à se propager via des clés USB compromises, à contourner les trous d'air, à infecter des réseaux non orientés vers l'internet et à y voler des documents. Selon l'article de blog de Sophos, tous ces échantillons PlugX communiquent avec une seule adresse IP, 45.142.166[.]112 hébergée par GreenCloud.
« En septembre 2023, nous avons réussi à prendre possession de cette adresse IP afin de faire tomber ce botnet. Nous pensions initialement que nous aurions quelques milliers de victimes connectées à ce botnet, comme c'est le cas pour nos sinkholes habituels. Cependant, en installant un simple serveur web, nous avons constaté un flux continu de requêtes HTTP variant selon l'heure de la journée », Sekoia.
L’organisation ajoute, « Face à cette situation, nous avons opté pour l'enregistrement des requêtes reçues dans une base de données afin de tracer l'étendue des infections. Chaque jour depuis septembre 2023, entre 90 000 et 100 000 adresses IP uniques envoient des requêtes PlugX distinctes à notre serveur sinkhole. Bien que le botnet puisse être considéré comme "inerte" car ses opérateurs ne l'ont plus sous contrôle, toute personne ayant la capacité d'intercepter ou de prendre possession de ce serveur peut émettre des commandes arbitraires à l'hôte infecté, le réaffectant ainsi à des activités malveillantes. »
PlugX, une ancienne cyberarme dans l'arsenal chinois
La première version connue de PlugX a été observée pour la première fois lors d'une campagne chinoise ciblant des utilisateurs liés au gouvernement et une organisation spécifique au Japon, qui a débuté en 2008 selon Trend Micro. Elle a été principalement déployée contre des victimes situées en Asie jusqu'en 2012, puis a progressivement élargi son groupe de cibles à des entités occidentales. La plupart du temps, PlugX est chargé à l'aide d'un schéma de chargement latéral de DLL dans lequel un exécutable légitime charge une DLL malveillante - ou corrigée - qui va ensuite mapper et exécuter en mémoire le composant principal de PlugX, qui réside dans un blob binaire chiffré sur le système de fichiers [T1574.002].
L'interface de gestion de PlugX permet à l'opérateur de gérer plusieurs hôtes infectés avec des fonctionnalités couramment observées dans de telles portes dérobées, telles que l'exécution de commandes à distance, le téléchargement de fichiers, l'exploration du système de fichiers, l'acquisition de données dans le contexte de l'exécution, etc. Cette porte dérobée, initialement développée par Zhao Jibin (alias WHG), a évolué au fil du temps en différentes variantes. Le constructeur de PlugX a été partagé par plusieurs groupes d'intrusion, la plupart d'entre eux étant attribués à des sociétés écrans liées au ministère chinois de la sécurité de l'État.
L'ajout d'un élément de propagation à PlugX : Quand les choses tournent mal
En juillet 2020, selon plusieurs chercheurs, les opérateurs à l'origine de l'intrusion Mustang Panda ont eu la (mauvaise) idée d'ajouter un élément de propagation à PlugX, peut-être pour cibler plusieurs pays au cours d'une même campagne ou pour étendre ses capacités en atteignant des réseaux non connectés afin de voler des fichiers sur des postes de travail non connectés, mais infectés.
Ce composant vermoulu infecte les clés USB connectées en y ajoutant un fichier de raccourci Windows portant le nom de la clé USB infectée et une triade de chargement latéral de DLL (exécutable légitime, DLL malveillante et blob binaire) dans le dossier caché du lecteur RECYCLER.BIN. Le contenu légitime des périphériques USB est déplacé dans un nouveau répertoire dont le nom est le...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.