Bercy et RSF, même combat pour des pirates ?

1
107

Le piratage d’ordinateurs à Bercy, la partie visible d’un iceberg difficile à délimiter. Reporters Sans Frontières ciblé aussi par des pirates… Chinois ! Le piratage d’ordinateurs appartenant au Ministére de Bercy, un cas isolé ? Pas vraiment. Voici ce qui se passe, en ce moment, dans les ordinateurs de centaines de milliers de personnes de part le monde. – Leng jing guan cha

Comme vous avez du vous en rendre compte, nous sommes restés très discret sur la révélation de Paris-Match au sujet du piratage de 150 ordinateurs (sur 170.000) de Bercy. Une attaque “chanceuse” ! Imaginez, un pirate a réussi à trouver des fonctionnaires, ayant une machine (150 PC infectés, soit 0,09 % du parc) faillible à une vulnérabilité visant la lecture de documents au format PDF. A convaincre ces derniers d’ouvrir un eMail et sa piéce jointe piégée. Et en bonus, les machines touchées avaient en sauvegarde quelques documents sensibles. Bref, si ça ce n’est pas de la chance. Il fallait, pour le pirate, avoir l’assurance de : posséder les emails des cibles ; que les cibles lisent le courriel ; qu’elles cliquent sur le fichier joint ; que le Windows utilisé par le lecteur de la missive piégée ne soit pas patché des derniéres rustines ; que le lecteur Reader PDF ne soit pas rustiné ; qu’il n’y ait pas d’antivirus ; de firewall ; de chiffrement ; … Avec autant de chance, le pirate devrait jouer au loto, il y gagnerait à coup sur le gros lot !

Bref, cette tentative de piratage est loin d’être une nouveauté. Même si elle semble particuliérement bien préparée, pas besoin d’être une armée. Un simple bidouilleur, dans son garage, peut mettre en place ce type d’attaque. Alors pourquoi en parlons nous ? Il est intéressant de remarquer qu’au même moment, Reporters Sans Frontières (Paris), subissait une attaque plus complexe encore. Elle aussi semble être orchestrée par des pirates Chinois. Une tentative d’intrusion et d’espionnage qui est plus sophistiquée que le cas Bercy. Mais attention, ce n’est pas parce qu’un pirate passe par la Chine qu’il ne vit pas en face de chez vous. Les proxies Chinois, ordinateurs permettant de signer ses actions sur la toile sous une identité numérique Chinoise, sont légions sur le réseau des réseaux. Des gentils membres de Chos?n inmin’gun ferait tout aussi bien l’affaire !

Bercy, RSF, même combat ?

Alors qu’un piratage était detecter par le Ministère Français de l’économie, une tentative similaire visait l’Organisation Non Gouvernementale (ONG), Reporters Sans Frontières (RSF). Comme le rappel Wikipedia, Reporters sans frontières est une organisation non gouvernementale internationale se donnant pour objectif la défense de la liberté de la presse. Bref, bien loin du G20. Et pourtant.

Tout débute en septembre 2010. Un courriel signé par l’ancien président fondateur de RSF, Robert Menard, arrive dans la boite eMail de RSF. Dans le courriel, un fichier joint et un PDF. L’identité de l’ancien président de RSF est usurpée. Comme pour Bercy, le PDF est piégé. Pour en savoir plus sur cette attaque, nous vous invitons à lire notre enquête.

Début 2011, nouvelle tentative d’espionnage numérique à l’encontre de Reporters Sans Frontières. Cette fois, et au même moment que le cas Bercy, un étrange script est repéré, en interne, par l’équipe de RSF. Un petit bout de code, caché dans le site, rapidement repéré. Voici comment fonctionne la bestiole malveillante. Elle est divisée en plusieurs parties.

Le 1er iframe concerne l’exploitation d’une vulnérabilité HCP (gestionnaire de protocole – hcp://*). La vulnérabilité HCP permet l’exécution d’un programme sur la machine de la victime (*) En utilisant “mshta.exe“, les attaquants peuvent passer le HTA (HTML Applications) en paramètre et ainsi exécuter du WScript. Le programme wscript.exe est un hôte de script. Il va charger le moteur de script approprié pour exécuter un fichier, dans notre cas, un code malveillant.

Le second iFrame concerne l’exploitation d’une vulnérabilité Java, Un code qui est récupéré à partir de l’adresse 111.68.9.253 (hello.jar). Le JAR contient la classe HttpGet, ci-dessous la partie concernant la charge “utile“, le payload.

Ce « loader » est toujours le même, “jsq.exe“. A noter que l’index du site portant la charge pas “cool”, contient un WordPress 3.0.4. Le JRE (Java Runtime Environment), une fois décodé, ressemble au code ci-dessous.

Écrit en Visual Basic 6, ce programme “pas cool” a été compilé, une seconde fois, le mardi 22 février 2011 à 07:58:35. La librairie vb6chs.dll utilisée par le pirate  confirme l’usage d’une version chinoise. La valeur 0x080404b0, dans le code, est associée à la langue (PRC), celle de la République Populaire de Chine (*). Le programme malveillant est un RAT (Remote Administration Tool) nommé PoisonIvy. L’adresse de “contact” de ce RAT est TW.DD.BLUELINE.BE (123.108.108.231:443/TCP).

Une attaque réussie ? Non, les pirates ont peut être constatés qu’il n’y avait pas ce qu’ils recherchaient dans leur tentative de piratage. Bilan, ils ont préféré abaissés leurs cartes pour injecter un code malveillant dans l’espoir d’infecter des membres de Reporters Sans Frontières. Ils avaient quand même bien préparé le terrain, comme pour l’attaque à l’encontre de Bercy, nous avons à faire à du code maison ; une veille de la cible et aucune détection des antivirus. Mais comme déjà indiqué, pas besoin d’être une armée. Juste du temps et de la précision… que posséde, certes, le Shangwubu.

Un Poison nommé Ivy

PoisonIvy est un RAT, un Remote Administration Tool, une façon polie et plus « classe » que de parler d’un cheval de Troie, d’un Trojan. Nous sommes bien loin de l’époque de Back Orifice, l’ancêtre fondateur des RATrojan. Mission de la bestiole PoisonIvy, être installée dans un ordinateur pour cyber surveiller la machine connectée au web. PoisonIvy permet de chercher des informations dans un PC infiltré ; de transférer des données ; de prendre des photos de l’écran de l’ordinateur piégé ; de jouer avec le Regedit ; d’activer ou fermer des ports du PC infecté ; fonction Remote shell (se promener dans les répertoires) ; d’écouter et captures le son via le micro installé sur l’ordinateur compromis ; de transformer la machine piratée en serveur ; installer des applications. Bref, petit mais costaud le RAT.

Vous avez dit bizarre ? Comme c’est bizarre !

L’histoire aurait pu s’arrêter là, sauf que le pirate de Reporters Sans Frontiéres s’est réveillé quelques heures avant la grosse mise à jour des 170,000 ordinateurs de Bercy. Une nise à jour qui a eu lieu le week-end dernier, les 5 et 6 mars. 24 heures avant, le 4 mars, toujours à l’adresse cfajax[dot]com, le pirate mettait à jour son  binaire “pas cool“.

1. Le fichier de l’attaque RSF – SHA1: 41f4a79bce73ae3d978ceedafcb28ee17623dd56
Au 2011-02-25 04:20:40 (UTC) – détection ratio: 0/40
Au 2011-03-06 17:47:18 (UTC) – détection ratio: 3 /43 (7.0%)

2. L’échantillon du 4 mars – SHA1: 17b34d095cf157a73fcc9bb9deb5ad9d4759a9e7
Au 2011-03-05 11:45:04 (UTC) – détection ratio: 1 /43 (2.3%)
Au 2011-03-06 17:54:05 (UTC) – détection ratio: 16 /43 (37.2%)

A noter que l’éditeur Sophos semble avoir réalisé une détection générique efficace de cette « chose ». Le code malveillant a été baptisé pour l’éditeur d’antivirus, Mal/Generic-L. La protection est sensiblement la même, on y retrouve la chaine de caractères “haowawa“. Dans le dernier échantillon, il est possible de trouver également “denxiaop“. Un pseudo ? Nous imaginons mal un pirate aussi pointu et tenace signer son action. Notre imagination débordante nous fait penser à Deng Xiaoping (un chinois l’aurait écrit dèng xi?opíng) ancien chef de la République populaire de Chine. Le “Petit joufflu” est considéré comme le politique Chinois ayant décidé le développement économique du Pays du soleil du milieu. Il aimait dire que “Peu importe si un chat est noir ou blanc, l’important est qu’il attrape des souris !”

A noter que l’ancienne adresse TW.DD.BLUELINE.BE (123.108.108.231 – AS24544) sur 443/TCP a été changée. Elle est aujourd’hui  exécutée à partir de UPDATE360.DD.BLUELINE.BE (111.68.8.28 – AS45753) sur 443/TCP. Dans les deux cas, le serveur BLUELINE.BE reste l’hôte.

inetnum:        123.108.108.0 – 123.108.110.255
netname:       PANGNET
descr:            Pang International Limited
country:         HK
admin-c:        YL2194-AP
tech-c:           YL2194-AP
status:          ASSIGNED NON-PORTABLE
mnt-by:         MAINT-HK-PANG
changed:       pang@laws.ms 20100419
source:          APNIC
person:         Yu Pang Law
nic-hdl:         YL2194-AP
e-mail:          admin@pangintl.com
address:       2D Hung Hay Building,
address:        1st Fa Yuen Street,
address:        Mong Kok,
address:        Kowloon,
address:        Hong Kong
phone:          +852-6172-5306
fax-no:          +852-2332-8934
country:        HK
changed:      pang@laws.ms 20081229
mnt-by:         MAINT-HK-PANG
source:         APNIC
ip4:              194.78.199.172
include:        skynet.be
include:        belgacom.be

AS45753 [123.108.108.0/22 – Pang International Limited Proxy]
— AS24544
— AS38871
— AS9293
— AS9584

aut-num:  AS24544
as-name:  PANGNET-AS-AP
descr:       Pang International Limited-AS number
country:    HONG KONG
import:     from AS45753 – from AS10026

13 112.121.160.58
14 112.121.160.62
15 112.121.160.74 [!] firewall ( DPI )
16 ?
17 111.68.8.28

Bref, si Bercy parle du G20 comme motif possible de cette “petite” attaque. Que penser de Reporters Sans Frontières ? Cette nouvelle tentative de piratage de RSF concernait-elle les informations transmises, secretement et discrétement, via son abri anticensure ? Chose est certaine, ça nous change du “stratagème de la lamproie” !

Source : Zataz

Les commentaires sont fermés.