Des hackers chinois compromettent un FAI pour empoisonner les réponses DNS

Les chercheurs de la société de cybersécurité Volexity ont révélé vendredi qu’un groupe de hackers chinois, ‘StormBamboo’, a s uccessfully compromis un fournisseur d’accès Internet (FAI) pour abuser des mises à jour logicielles automatiques avec des logiciels malveillants.

Ce groupe de cyber-espionnage chinois, également suivi sous les noms d’Evasive Panda, Daggerfly et StormCloud, est actif depuis au moins 2012, ciblant des organisations à travers la Chine continentale, Hong Kong, Macao, le Nigéria et plusieurs pays d’Asie du Sud-Est et de l’Est (via BleepingComputer).

Lors d’un incident examiné par Volexity, les chercheurs sur les menaces ont découvert que StormBamboo ciblait des logiciels utilisant des mécanismes de mise à jour non sécurisés, tels que HTTP, et ne validaient pas correctement les signatures numériques des installateurs pour déployer des charges utiles malveillantes sur les machines des victimes fonctionnant sous macOS et Windows.

“Lorsque ces applications allaient récupérer leurs mises à jour, au lieu d’installer la mise à jour prévue, elles installaient des logiciels malveillants, y compris mais sans s’y limiter MACMA et POCOSTICK (alias MGBot),” a expliqué Volexity dans un rapport publié vendredi.

Pour ce faire, les attaquants ont interrompu et modifié les requêtes DNS des victimes et les ont redirigées vers des adresses IP malveillantes.

Cette technique a permis de livrer des logiciels malveillants aux systèmes de la victime depuis les serveurs de commande et de contrôle (C2) de StormBamboo, nécessitant ainsi aucune interaction de l’utilisateur.

Volexity a trouvé StormBamboo ciblant plusieurs fournisseurs de logiciels, qui utilisent des mécanismes de mise à jour automatique, en utilisant des niveaux de complexité différents dans leurs étapes pour pousser des logiciels malveillants.

“Par exemple, ils ont profité des requêtes de 5KPlayer pour mettre à jour la dépendance youtube-dl afin de pousser un installateur avec porte dérobée hébergé sur leurs serveurs C2,” a déclaré le rapport BleepingComputer.

“Après avoir compromis les systèmes de la cible, les acteurs de la menace ont installé une extension malveillante de Google Chrome (ReloadText), qui leur a permis de récolter et de voler des cookies de navigateur et des données de messagerie.”

Les chercheurs sur les menaces ont informé et travaillé avec le FAI, qui a ensuite enquêté sur des dispositifs de routage de trafic importants sur leur réseau. Une fois que le FAI a redémarré, il a mis hors ligne des composants réseau spécifiques, ce qui a immédiatement arrêté l’empoisonnement DNS.

“StormBamboo est un acteur de menace hautement qualifié et agressif qui compromet des tiers (dans ce cas, un FAI) pour violer les cibles visées.

La variété de logiciels malveillants employés dans diverses campagnes par cet acteur de menace indique un effort significatif investi, avec des charges utiles activement prises en charge non seulement pour macOS et Windows, mais aussi pour des appareils réseau,” ont conclu les chercheurs.