Un logiciel malveillant extrêmement puissant, livré d’une manière qui est à l’abri de la plupart des cybersécurité (s’ouvre dans un nouvel onglet) mesures, a été découvert infectant des personnalités chinoises.
Les chercheurs en cybersécurité de Kaspersky ont découvert un malware qu’ils appellent WinDealer, distribué et utilisé par un acteur chinois Advanced Persistent Threat (APT) appelé LuoYu. WinDealer, disent les chercheurs, est capable de collecter « une quantité impressionnante » d’informations. Il peut afficher et télécharger tous les fichiers stockés sur l’appareil, ainsi que lancer une recherche par mot-clé sur tous les documents.
Pour livrer le logiciel malveillant au terminal cible (s’ouvre dans un nouvel onglet)les attaquants effectuent une attaque de type « man-on-the-side », détournant essentiellement le trafic réseau en transit.
Course avec le serveur
Lorsque la victime tente d’accéder à une certaine ressource sur Internet (par exemple, ouvrir son compte LinkedIn), elle doit envoyer une requête au serveur pour ouvrir la page. Cette demande est le type de trafic que les attaquants peuvent intercepter et lire, puis essayer de diffuser du contenu malveillant avant que le serveur ne réponde avec le site légitime.
Kaspersky décrit la méthode comme une « course » avec le serveur légitime, la seule différence étant que l’attaquant a autant de tentatives de diffusion de contenu malveillant qu’il le souhaite. Afin d’infecter avec succès un terminal cible, l’attaquant n’a besoin d’aucune interaction avec la victime, quelle qu’elle soit.
Les cibles sont principalement des organisations et des individus de haut niveau en Chine, affirment en outre les chercheurs. Les organisations diplomatiques étrangères établies en Chine, les membres de la communauté universitaire, les entreprises de défense, de logistique et de télécommunications sont tous répertoriés comme des cibles potentielles. Outre la Chine, les chercheurs de Kaspersky ont également mentionné des cibles en Allemagne, en Autriche, aux États-Unis, en République tchèque, en Russie et en Inde.
Toutes les cibles utilisent Windows comme système d’exploitation de choix.
En plus d’être difficiles à repérer, les logiciels malveillants (s’ouvre dans un nouvel onglet) est également difficile à bloquer. Habituellement, ce type de malware contacte un serveur de commande et de contrôle (C2) pour obtenir des instructions, et le simple blocage de l’adresse IP du serveur suffirait à neutraliser la menace. WinDealer, en revanche, s’appuie sur un algorithme complexe qui génère des adresses IP (48 000, selon Kaspersky), rendant le blocage impossible.
La seule façon de se défendre contre une telle attaque est d’acheminer le trafic via un autre réseau, par exemple avec un VPN. Cependant, avoir un VPN en Chine est plus facile à dire qu’à faire.