Si les premiers éléments d’enquête autour de l’infection de CCleaner laissaient apparaître un danger limité, d’autres dessinent désormais les contours d’une attaque complexe. Le malware, quel qu’il soit, dispose en fait de plusieurs charges virales dont les chercheurs ont encore du mal à percer les défenses.
On apprenait plus tôt dans la semaine que l’outil CCleaner avait distribué pendant un mois un malware dans sa version 5.33 32 bits (ainsi que CCleaner Cloud 1.07.3191). Piriform, éditeur du logiciel et appartenant à Avast, avait présenté ses excuses et avait fourni quelques détails, confirmant surtout la découverte faite par le groupe de sécurité Talos de Cisco. Il indiquait ainsi que ses serveurs avaient été attaqués et qu’une version modifiée de son outil s’était retrouvée en téléchargement.
Nom de l’ordinateur, liste des logiciels installés, mises à jour installées par Windows, processus en cours d’exécution, adresses IP et Mac, architecture et autres informations techniques étaient récupérées par le malware puis envoyées à un serveur de contrôle, mis hors service entre temps. Le caractère des données rendait la fuite peu dangereuse car aucune information personnelle n’était transmise. Ce qui ne signifiait pas pour autant qu’elles étaient inutiles.
Un malware à étapes multiples
La menace est en fait « multistage », c’est-à-dire à étapes multiples. Dans un nouveau rapport publié mercredi soir, Cisco revient avec la suite de ses recherches. Sur un échantillon de 700 000 machines infectés, 20 avaient déclenché la deuxième étape de l’infection, téléchargeant une charge virale supplémentaire à la mission inconnue, présente sous la forme de deux DLL.
Point important, ces ordinateurs appartiennent tous à une liste de grandes entreprises. Cisco ne dit pas lesquelles ont été touchées, mais le malware semble se concentrer sur une liste restreinte de structures telles qu’Intel, Samsung, HTC, VMware, Microsoft, Sony ou encore MSI et Akamai. Hier soir, de nouvelles explications d'Avast/Piriform ont abondé en ce sens, en allant plus loin : puisque le malware est resté disponible pendant un mois, les machines doublement infectées doivent se compter par centaines au moins.
En liant ces informations aux premières, les chercheurs estiment maintenant que ces données techniques servaient probablement à repérer les machines les plus à même d’accueillir le malware. Son véritable objectif est encore inconnu, mais le vol d’informations sensibles est très certainement de la partie. Le code est en grande majorité masqué. De nombreuses techniques anti-débogage et anti-émulation ont également été placées pour ralentir l’analyse et cacher ce qui se trame réellement dans les entrailles du malware.
Selon Cisco, le code contient en tout cas une troisième étape de type « fileless », donc sans fichier enregistré sur le disque. La charge opère exclusivement en mémoire vive et ne doit donc pas laisser de trace. Et si les informations sur la deuxième étape sont peu nombreuses, celles de la troisième sont inexistantes. Les chercheurs tentent actuellement une rétroingénierie pour avoir le fin mot de l’histoire.
Les conseils ont changé
Actuellement, certains signes pointent vers la Chine. Cisco confirme ici une piste explorée par Kaspersky : des éléments trouvés dans le code de la porte dérobée (tout du moins la partie lisible) ressemblent étrangement à celui d’une autre backdoor déjà utilisée par un groupe nommé, selon les cas, APT 17 ou Group 72. Pour l’instant, les indices ne vont pas plus loin, mais l’enquête continue.
Shared code between the #CCleaner Cbkrdr loader and an #Aurora/#APT17 Missl backdoor. Found only in a few Axiom-related samples. pic.twitter.com/3rQdmtaPQD
— Costin Raiu (@craiu) 19 septembre 2017
Par contre, les conseils sur la manière de se débarrasser du malware ont évolué. Chez Cisco, on n’hésite ainsi plus à recommander un formatage de l’ordinateur si un CCleaner 32 bits a été installé. La version 5.34 de l’outil était vierge de tout problème, et la récente mouture 5.35 se débarrasse du faux certificat (pourtant authentique) utilisé dans la mouture infectée, mais pour les chercheurs du groupe Talos, ce n’est pas suffisant.
Le risque est tout simplement jugé trop grand. L’un des chercheurs, Craig Williams, indique ainsi que la deuxième étape étant encore mal connue, la charge virale qui en découle réalise sans doute des opérations inconnues. Elle déploie de nombreuses techniques pour rester cachée, et on ne peut pas encore dire avec certitude qu’une machine est « guérie » après une simple mise à jour de CCleaner. Curieusement, Piriform/Avast n’évoque pas cette solution drastique.
Une sécurité des serveurs à réviser
L’attaque contre CCleaner montre quoi qu’il en soit une tendance à la hausse pour la pêche aux serveurs de téléchargement. Les pirates, en s’infiltrant dans ces machines, peuvent remplacer directement une version saine par une autre, vérolée. Le serveur devient alors un réservoir d’exécutables contaminés. Le cas a par exemple été déjà rencontré avec Transmission et Handbrake. Même l’arrivée de NotPetya s’est faite de cette manière en juin dernier.
La pression augmente donc sur les éditeurs. Outre la protection des utilisateurs, les entreprises ont tout intérêt à renforcer leurs défenses, car ce type de mésaventure affecte durablement leur image.
