dimanche 9 août 2020
Promotion Meilleur VPN 2020
Accueil Malwares ShadowPad : Un backdoor caché dans un logiciel utilisé par des centaines...

ShadowPad : Un backdoor caché dans un logiciel utilisé par des centaines de grandes entreprises

Aujourd’hui Kaspersky Lab dévoile l’existence de ShadowPad, un backdoor caché dans un logiciel de gestion de serveurs utilisé par des centaines d’entreprises. Ce backdoor (ou porte dérobée, ndlr), une fois activé, permet aux attaquants de télécharger des modules malveillants ou de voler des données à l’entreprise.  

ShadowPad est l’une des plus importantes attaques jamais découvertes contre la chaîne logistique. Cette découverte a été réalisée par les chercheurs du GReAT, l’équipe internationale de recherche et d’analyse de Kaspersky Lab.

Les experts de Kaspersky Lab ont découvert qu’un backdoor (porte dérobée) avait été placé dans un logiciel de gestion de serveurs utilisé par des centaines de grandes entreprises partout dans le monde. Lorsqu’il est activé, ce backdoor permet aux attaquants de télécharger des modules malveillants ou de voler des données. Kaspersky Lab a alerté NetSarang, le vendeur du logiciel concerné, qui a retiré le code malveillant et développé une mise à jour pour ses clients.

En juillet 2017, l’équipe internationale de recherche et d’analyse (GReAT) de Kaspersky Lab a été approchée par l’un de ses partenaires, une institution financière. Les spécialistes en sécurité de cette organisation s’inquiétaient car ils avaient enregistré des requêtes DNS (domain name server) suspicieuses provenant d’un système impliqué dans l’enregistrement des transactions financières. Une enquête plus poussée a révélé que ces requêtes trouvaient leur origine dans un logiciel de gestion des serveurs produit par une entreprise légitime et utilisé par des centaines de clients dans des secteurs variés comme les services financiers, l’éducation, les télécoms, la fabrication, l’énergie et les transports. Le plus inquiétant était que le vendeur n’avait pas prévu que son logiciel fasse ces demandes.     

Des analyses complémentaires de Kaspersky Lab ont montré que les requêtes suspicieuses résultaient de l’activité d’un module malveillant caché dans une version récente du logiciel légitime. Suite à l’installation d’une mise à jour infectée du logiciel, le module malveillant commence à envoyer des requêtes DNS vers des domaines spécifiques (son serveur de commande et de contrôle) une fois toutes les 8 heures. La requête contient des informations basiques à propos du système de la victime (nom d’utilisateur, nom de domaine, nom d’hôte). Si les cybercriminels considèrent que le système est « intéressant », le serveur de commande répond et active une plate-forme complète de backdoor qui se déploie silencieusement sur l’ordinateur ciblé. Ensuite, sur commande des attaquants, la plate-forme de backdoor peut télécharger et exécuter du code malveillant.

Suite à cette découverte, les chercheurs de Kaspersky Lab ont immédiatement contacté NetSarang. L’entreprise a réagi très rapidement et mis à disposition une version mise à jour de son logiciel, sans code malveillant. 

Jusqu’ici, selon les recherches de Kaspersky Lab, le module malveillant a été activé à Hong Kong, mais il pourrait être dormant sur beaucoup d’autres systèmes partout dans le monde, particulièrement si les utilisateurs n’ont pas installé la version mise à jour du logiciel.

Les chercheurs de Kaspersky Lab continuent d’analyser les outils et procédures utilisés par les criminels mais ils peuvent déjà conclure qu’il existe des similarités avec des variantes du malware PlugX utilisées par l’APT Winnti, un groupe de cyber-espionnage sinophone. Cependant, cette information ne suffit pas à établir des connections précises entre ces acteurs.

« ShadowPad illustre la dangers que pourrait représenter une attaque à large échelle contre la chaine logistique. De par son ampleur et les données collectées, elle représente une véritable opportunité pour les criminels, laissant supposer qu’ils pourraient reproduire ce scenario encore et encore avec d’autres logiciels très populaires. Heureusement, NetSarang a réagi très rapidement à notre alerte et mis à disposition une nouvelle version propre du logiciel, ce qui a probablement empêché des centaines de vols de données contre ses clients. Cependant, cette affaire vient rappeler l’importance pour les grandes entreprises de s’équiper de solutions avancées capables de surveiller les activités réseau et de détecter des anomalies. C’est le meilleur moyen de repérer des activités malveillantes, et ce même si les attaquants utilisent des techniques suffisamment sophistiquées pour cacher leur malware dans des logiciels légitimes, » explique Igor Soumenkov, chercheur en sécurité, GReAT, Kaspersky Lab.

Tous les produits Kaspersky Lab détectent et protègent contre le malware ShadowPad sous le nom : “Backdoor.Win32.ShadowPad.a“.

Kaspersky Lab recommande aux utilisateurs du logiciel NetSarang de le mettre à jour immédiatement et de vérifier qu’ils n’ont enregistré aucune requête DNS vers des domaines inhabituels. Des informations techniques additionnelles sont disponibles sur Securelist.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.