Les experts de Kaspersky ont étudié le programme malveillant WinDealer créé par le groupe d’APT LuoYu. La découverte la plus intéressante est que les cybercriminels contrôlent apparemment cette méthode d’attaque de type » man-on-the-side » et l’exploitent avec succès pour délivrer le programme malveillant et pour prendre le contrôle des ordinateurs infectés.
Qu’est-ce qu’une attaque de type « man-on-the-side » et comment les opérateurs de WinDealer s’en servent-ils ?
Une attaque de type » man-on-the-side » implique que le cybercriminel contrôle le canal de communication d’une façon ou d’une autre, ce qui lui permet de lire le trafic et d’introduire des messages arbitraires dans les échanges normaux de données.
Voici un exemple : les cybercriminels interceptent une demande de mise à jour d’un programme parfaitement légitime et remplace le fichier de la mise à jour par un autre corrompu. C’est apparemment comme ça que WinDealer est distribué.
Les cybercriminels utilisent une méthode similaire pour donner des ordres au programme malveillant installé sur l’ordinateur infecté. Pour que les chercheurs en sécurité aient plus de difficultés à trouver le serveur C&C, le programme malveillant ne contient pas l’adresse exacte. À la place, il essaie d’accéder à une adresse IP choisie au hasard dans une fourchette prédéfinie. Les cybercriminels interceptent la demande et y répondent. Dans certains cas, WinDealer essaie d’accéder à une adresse qui n’existe même pas, mais arrive tout de même à obtenir une réponse grâce à cette attaque de type » man-on-the-side « .
Selon nos experts, pour réussir à utiliser cette technique, les cybercriminels doivent constamment avoir accès aux routeurs de tout le sous-réseau ou à des outils avancés au niveau du fournisseur d’Internet.
Qui sont les cibles de WinDealer ?
La plupart des victimes de WinDealer se trouvent en Chine : institutions diplomatiques étrangères, membres de la communauté académique et entreprises impliquées dans la défense, la logistique ou la télécommunication. Pourtant, le groupe d’APT LuoYu s’en prend parfois à d’autres pays : Autriche, République tchèque, Allemagne, Inde, Russie et États-Unis. Ces derniers mois, il semblerait que les cybercriminels soient plus intéressés par les pays d’Asie orientale et par les entreprises qui se trouvent en Chine.
Quelles sont les capacités de WinDealer ?
Vous trouverez sur notre blog Securelist une analyse technique détaillée du programme malveillant et de son mécanisme de livraison. En quelques mots, WinDealer a les capacités d’un logiciel espion (spyware) moderne. Il peut :
- Manipuler les fichiers et le fichier système (ouvrir, écrire et supprimer des fichiers, et recueillir des données sur les répertoires et les disques) ;
- Recueillir des informations sur le hardware, la configuration du réseau, les processus, la configuration du clavier et les applications installées ;
- Télécharger et charger des fichiers arbitraires ;
- Exécuter des commandes arbitraires ;
- Effectuer des recherches dans les fichiers texte et les documents MS Office ;
- Faire des captures d’écran ;
- Analyser le réseau local ;
- Soutenir la fonction de porte dérobée ;
- Recueillir des données sur les réseaux Wi-Fi disponibles. Au moins une des variantes du programme malveillant détectées par nos experts en est capable.
Comment vous protéger
Malheureusement, il est extrêmement difficile de se protéger contre les attaques de type » man-on-the-side » au niveau du réseau. En théorie, une connexion VPN constante peut vous aider, mais elle n’est pas toujours disponible. Ainsi, pour éviter qu’un logiciel espion ne vous infecte, il convient d’installer une solution de sécurité fiable sur tous les dispositifs ayant accès à Internet. De plus, les solutions de type EDR peuvent vous aider à détecter les anomalies et à interrompre l’attaque à un stade précoce.