Le Laboratoire des menaces d’Avast analyse l’attaque contre les serveurs des Jeux nationaux de Chine

0
38

Le coup d’envoi des Jeux olympiques d’hiver sera donné le vendredi 4 février à Pékin, en Chine. L’Empire du milieu a précédé ces olympiades de ses propres festivités sportives nationales, les Jeux nationaux de Chine qui se sont tenus dans la ville de Xi’an (province du Shaanxi) en septembre 2021.

Tribune – Avant le début des rencontres, l’équipe informatique officielle des Jeux a envoyé un rapport à VirusTotal au sujet d’une attaque lancée contre un de ses serveurs. Le Laboratoire des menaces d’Avast a passé au crible ce rapport et en publie une analyse ce jour ; ses experts se sont également basés sur des informations libres d’accès concernant l’incident en question.

Le rapport chinois contient des logs d’accès à un serveur web et à une base de données SQL, qui ont fourni aux chercheurs d’Avast une partie seulement des informations concernant l’attaque. Ils ont pu les mettre en corrélation avec des échantillons de programmes malveillants (malware) qu’ils ont détectés. L’analyse montre que les attaquants ont réussi à accéder à un système hébergeant des contenus liés aux Jeux nationaux chinois en exploitant une faille située au niveau d’un serveur web. De là, ils ont pu charger des web shells, reconfigurer des serveurs et charger des outils, dont un analyseur de réseau et un framework d’exploitation en un clic.

L’étude du rapport et les découvertes d’Avast montrent que la brèche a été comblée avant le début des Jeux. Les chercheurs d’Avast n’ont pas été en mesure de détailler le modus operandi probable des pirates pour s’en prendre au réseau dans son ensemble. Ils n’ont pas non plus pu déterminer précisément l’origine des pirates, mais pensent que le mandarin est leur langue maternelle ou qu’ils en ont une excellente maîtrise.

De plus amples détails sont consultables sur le blog Decoded : https://decoded.avast.io/janneduchal/analysis-of-attack-against-national-games-of-china-systems/

Conclusion et conseils pour les organisations et les entreprises :

La procédure suivie pour pirater les 14e Jeux nationaux de Chine n’a rien d’inédit. Les pirates ont eu accès au système en exploitant une faille située au niveau d’un serveur web, ce qui montre à quel point les mises à jour logicielles sont importantes. Il en va de même pour la configuration qui doit être adaptée et pour l’utilisation d’analyseurs de réseau qui permettent de mettre au jour d’éventuelles vulnérabilités dans certaines des applications installées.

Pour se protéger en cas de faille, l’application de correctifs (patchs) demeure la mesure primordiale ; l’infrastructure doit être toujours à jour en termes de mises à jour logicielles surtout dans le cas d’infrastructures connectées à Internet.
La prévention doit être la priorité n°1 des infrastructures internes et de celles en interface avec Internet.

Les Web shells sont des outils de post-exploitation parfois très difficiles à détecter. Certains n’interviennent pas au niveau du système de fichiers et résident uniquement dans la mémoire ; cela rend leur détection et leur identification encore plus complexes. Une fois implantés, les web shells sont identifiables grâce à un trafic réseau inhabituel ou à des anomalies au niveau des indicateurs du trafic réseau.

Pour résister à ce type d’attaque, il est important de déployer davantage de couches de protection (par exemple les solutions SELinux et Endpoint Detection and Response) afin de pouvoir rapidement détecter une éventuelle intrusion et réagir rapidement.

Après avoir obtenu l’accès au système, les pirates ont essayé de naviguer dans le réseau en exploitant des failles et en recourant à de la force brute de manière automatisée. Dans la mesure où un pirate peut arriver à ce stade, il est important de pouvoir contre-attaquer très vite pour se protéger. Disposer d’outils de suivi en temps réel des systèmes informatiques et des réseaux est une bonne stratégie.

Enfin, les attaquants se sont servis d’un framework d’exploitation écrit en Go pour se déplacer dans le réseau. Le Go est un langage de programmation qui gagne en popularité car il peut être compilé pour de nombreux systèmes d’exploitation et architectures, dans des binaires simples intégrant la totalité des dépendances. Avast s’attend donc à voir des malware et des outils de piratage écrits en Go lors de futures attaques, notamment celles pouvant cibler les appareils et objets connectés (IoT), qui fonctionnent avec différentes architectures de processeurs.