Le logiciel freemium CCleaner a été infecté par des hackeurs et sa version frauduleuse aurait touché plusieurs milliers d'utilisateurs sous Windows. Plusieurs observateurs estiment que cette attaque méthodique est caractéristique des pratiques d'un groupe de cyberespions chinois, qui auraient ciblé de grandes entreprises de la tech comme Samsung et Microsoft.

On dénombrerait aujourd’hui pas moins de 730 000 utilisateurs de CCleaner impactés par la version frauduleuse du célèbre logiciel gratuit qui permet d’optimiser les performances de son ordinateur en supprimant des fichiers inutiles ou encore malveillants avec son registre.

Crap Cleaner a en effet été infecté et distribué dans une version altérée par des hackeurs, une sorte de dérivé du logiciel qui inclut un outil vérolé. Les assaillants sont parvenus à rentrer dans la chaîne de mise à jour du logiciel, et donc à diffuser leur spyware comme une traditionnelle mise à niveau.

Nous savions également depuis lundi 18 septembre que la version modifiée de CCleaner contenait, au-delà de la simple modification, une porte dérobée permettant d’installer des malwares à la carte sur les ordinateurs infectés, ainsi qu’un registre modifié afin que le programme ne les détecte pas.

Toutefois, les responsables comme le but de cette entreprise méticuleuse d’infection restaient flous. Récemment, deux équipes de chercheurs sont parvenues à un constat similaire : l’attaque, probablement venue de Chine, aurait été orchestrée par un célèbre groupe de hackeurs rompu au cyberespionnage.

Opération Aurora

Selon Costin Raiu, du Kaspersky Lab, le code malveillant de CCleaner aurait été infecté avant compilation par l’éditeur du freemium, Piriform. Ce qui implique que l’éditeur lui-même aurait été touché par l’attaque et aurait ensuite distribué le code.

L’analyse dudit code montre, toujours selon Riu, l’implication d’APT17. Aussi connu sous le nom de DeputyDog, APT17 est un groupe de cyberespionnage chinois qui opère en ligne depuis plus d’une décennie.

Beijing, Cité Interdite / CC. Roman Boed

L’entreprise de sécurité informatique FireEye a rédigé un rapport en 2015 sur ce groupe (PDF) lorsque l’adresse d’un de ses C&C (canal de commande et contrôle) était dissimulé sur des forums Microsoft. L’équipe notait que le groupe était d’origine chinoise et avait déjà réussi à s’introduire dans les équipements du gouvernement américain, des industries de la défense et de nombreuses infrastructures industrielles.

Son principal fait d’arme reste l’Operation Auroraune cyberattaque persistante que WikiLeaks révélera d’origine gouvernementale et qui a créé un incident diplomatique d’ampleur entre les Etats-Unis et la République Populaire de Chine.

Internet Explorer est resté un espion du gouvernement chinois durant plusieurs mois

Aurora s’était révélée aussi performante qu’élaborée : en touchant une trentaine de grands nom de la tech américaine, l’attaque avait réussi à implanter des logiciels espions à des points clefs : Google, Juniper, Adobe et surtout Microsoft. Ainsi, Internet Explorer est resté un espion au service du gouvernement chinois pendant plusieurs mois.

CCleaner semble avoir été victime d’une attaque aux intentions proches. Si le contexte politique ne peut encore être éclairci, il s’agirait de nouveau, pour APT17, d’une attaque servant un espionnage ciblé des entreprises tech.

Distribuer le code, analyser puis cibler les victimes

Le code malveillant est à la recherche d’informations techniques sur les ordinateurs infectés et communique ces dernières à une adresse précise. La technique est relativement classique et consiste à appréhender des cibles dans un premier temps, avant de passer à une attaque plus précise à l’aide des informations glanées et de malwares supplémentaires. Selon les observateurs de la version frauduleuse de CCleaner, le programme était destiné à servir à ces différentes étapes d’attaque et d’espionnage.

Ainsi, en touchant ses cibles, le groupe pouvait récupérer des informations simples sur les configurations visées. La liste des produits antivirus installés était ainsi récupérable et permettait aux cyberespions de mieux choisir leurs armes pour la seconde phase d’attaque. Le lien de CCleaner avec le canal de commande et de contrôle (C&C) permettait en outre de télécharger discrètement les malwares supplémentaires.

CC. Pixabay

Du côté des analystes de Talos, filiale de Cisco Systems, le cas CCleaner appelle une analyse corroborant la théorie d’une attaque globale aux cibles précises. Dans un rapport rendu public ce mercredi, les chercheurs ont découvert qu’une vingtaine de machines appartenant à des géants américains, dont Cisco et Microsoft, étaient plus particulièrement visées pour une attaque secondaire.

Les cibles du malware pourraient aller dans le sens d’un espionnage informatique de l’industrie technologique américaine. Wired va jusqu’à interpréter un possible espionnage industriel et du vol de propriété intellectuelle.

Opération gouvernementale chinoise ?

Chez Intezer, une autre firme de sécurité informatique, Jay Rosenberg se montre catégorique : l’attaque de CCleaner est signée par les hackeurs d’APT 17.

L’expert explique à Motherboard que, sa société étant spécialisée dans la découverte de similarités dans les codes malveillants, ses affirmations seraient, malgré leur précocité, à lier avec ses découvertes solides.

Selon lui, APT17 aurait déjà utilisé des éléments trouvés dans CCleaner. Rosenberg détaille sur son blog : « Le code en question est une implémentation unique de base64 [système d’encodage assez classique] déjà aperçue seulement chez APT17 et inexistante dans des dépôts publics, ce qui en fait une lourde preuve conduisant à l’attribution des menaces à un même auteur [APT17] ».

CC grover_net

En outre, si le C&C laisse penser qu’il pourrait également s’agir d’un autre groupe selon M. Raiu de Kaspersky, ce groupe serait lui-même lié à un réseau le dépassant, appelé Axiom, dans lequel on trouve… APT17.

Les preuves semblent donc s’aligner vers le groupe de hackeurs liés à Pékin. L’ensemble d’Axiom est en effet considéré comme un archipel de collectifs liés aux intérêts chinois et guidés par les services secrets de la RPDC.

Par ailleurs, toujours dans le sens d’une attaque servant des intérêts nationaux, Christopher Glyer, de FireEye, a partagé l’analyse suivante sur Twitter : « CCleaner est utilisé dans de nombreuses organisations. La compromission de la chaîne de mise à jour est un vecteur [d’infection] parfait pour une utilisation par un gouvernement. FireEye a découvert que l’infrastructure [du malware] coïncide avec un acteur gouvernemental et M. Craiu (@craiu) a identifié du code commun avec des malwares d’APT17. »

« La compromission de la chaîne de mise à jour est un vecteur [d’infection] parfait pour une utilisation gouvernementale  »

Si les raisons d’une telle attaque ne peuvent encore être identifiées formellement par les experts, les cibles d’APT17 semblent liés aux grandes entreprises. Les services de Piriform, l’éditeur de CCleaner, concernent le grand public mais également, dans leur version cloud, des grands noms de l’industrie parmi lesquels Airbus, Siemens, Intel, Samsung, mais aussi des universités de renom, selon le site commercial de la société.

Les grands américains de la tech ciblés

Or, entre l’inoculation du code et sa découverte par deux firmes de sécurité, dont Morphisec, nombreuses ont été les entreprises infectées et probablement espionnées. Morphisec a en effet découvert la porte dérobée du logiciel chez plusieurs de ses clients de renom : quatre clients différents de la firme auraient ainsi vu quelques deux cents postes touchés.

Talos va également dans le sens de cibles business en pointant dans son analyse du C&C une attention particulière vers des postes appartenant à différentes entreprises de la tech : HTC, Samsung, Sony, Intel, Microsoft, VMWare, Epson, Gmail, Cisco et enfin des opérateurs téléphoniques.

CC Alexandre B

Il est toutefois nécessaire de rester prudent sur l’origine chinoise de l’attaque : si les cibles et la méthode peuvent corroborer la théorie, des acteurs comme Morphisec préfèrent s’abstenir en raison d’un code trop réduit pour contenir des preuves.

En outre, si Talos a évalué et confirmé les déductions du Kaspersky Lab, les deux sociétés avancent ne pas avoir de preuves, seulement divers faisceaux d’indices allant dans le sens d’une attaque particulièrement exigeante techniquement et aux cibles à l’intérêt politique et national plus que financier. 

Pendant ce temps, le tchèque Avast, propriétaire de Piriform, a largement raté sa sortie de crise en sous-estimant la menace. Il a, dans un premier temps, affirmé que le malware n’avait pas été exploité pour une seconde infection. Confondue par les découvertes de ses homologues, l’entreprise a finalement publié un second billet de blog reconnaissant le caractère persistant (APT) de la cyberattaque et le ciblage spécifique de certaines victimes, concluant : « Toutes ces techniques [réunies dans l’attaque persistante] confirment le haut niveau de sophistication de l’assaillant ».

Une conclusion un peu tardive pour l’un des plus importants fabricants d’antivirus au monde, qui voit ici sa réputation sérieusement écornée.

Partager sur les réseaux sociaux