Getty Images
En juillet, des chercheurs en sécurité ont révélé une découverte qui donne à réfléchir : des centaines de logiciels malveillants utilisés par plusieurs groupes de pirates informatiques pour infecter les appareils Windows avaient été signés numériquement et validés comme étant sûrs par Microsoft lui-même. Mardi, un autre groupe de chercheurs a fait une annonce tout aussi solennelle : les clés numériques de Microsoft ont été détournées pour signer encore plus de logiciels malveillants destinés à être utilisés par un acteur malveillant jusqu’alors inconnu dans une attaque de la chaîne d’approvisionnement qui a infecté environ 100 victimes soigneusement sélectionnées.
Selon les chercheurs de l’équipe Threat Hunter de Symantec, le logiciel malveillant a été signé numériquement avec un certificat destiné à être utilisé dans ce qui est également connu sous le nom de programme de développement matériel Microsoft Windows et de programme de compatibilité matérielle Microsoft Windows. Le programme est utilisé pour certifier que les pilotes de périphériques (les logiciels qui s’exécutent en profondeur dans le noyau Windows) proviennent d’une source connue et qu’ils peuvent être fiables pour accéder en toute sécurité aux recoins les plus profonds et les plus sensibles du système d’exploitation. Sans la certification, les pilotes ne peuvent pas fonctionner sous Windows.
Détournement des clés du royaume
D’une manière ou d’une autre, les membres de cette équipe de piratage – que Symantec appelle Carderbee – ont réussi à convaincre Microsoft de signer numériquement un type de malware connu sous le nom de rootkit. Une fois installés, les rootkits deviennent essentiellement une extension du système d’exploitation. Pour obtenir ce niveau d’accès sans alerter les systèmes de sécurité des points finaux et autres défenses, les pirates de Carderbee avaient d’abord besoin que son rootkit reçoive le sceau d’approbation de Microsoft, qu’il a obtenu après que Microsoft l’ait signé.
Une fois le rootkit signé, Carderbee a réalisé un autre exploit audacieux. Par des moyens qui ne sont pas encore clairs, le groupe a attaqué l’infrastructure d’Esafenet, un développeur de logiciels basé en Chine, connu sous le nom de Cobra DocGuard Client, pour chiffrer et déchiffrer des logiciels afin qu’ils ne puissent pas être falsifiés. Carderbee a ensuite utilisé son nouveau contrôle pour diffuser des mises à jour malveillantes à environ 2 000 organisations clientes de Cobra DocGuard. Les membres du groupe de piratage ont ensuite transmis le rootkit signé par Microsoft à environ 100 de ces organisations. Les représentants d’Esafenet et de sa société mère, NSFOCUS, n’ont pas répondu à un e-mail demandant une vérification.
« Il semble clair que les attaquants derrière cette activité sont des acteurs patients et compétents », ont écrit les chercheurs de Symantec. « Ils exploitent à la fois une attaque contre la chaîne d’approvisionnement et des logiciels malveillants signés pour mener à bien leur activité et tenter de rester sous le radar. Le fait qu’ils semblent déployer leur charge utile uniquement sur une poignée d’ordinateurs auxquels ils ont accès indique également un certain niveau de planification et de reconnaissance de la part des attaquants derrière cette activité.
Microsoft a mis en place ce programme obligatoire avec le lancement de Windows 10. Les attaquants utilisaient depuis longtemps des pilotes dans des activités post-exploit, c’est-à-dire après avoir piraté un système et obtenu un accès administratif. Alors que les attaquants pouvaient déjà installer des applications, voler des mots de passe et prendre d’autres libertés, l’exécution de code dans le noyau leur permettait de faire des choses qui seraient autrement impossibles. Par exemple, ils pourraient supprimer les avertissements des systèmes de détection et de réponse des points finaux et d’autres défenses. À partir de ce moment-là, les pilotes nécessitant un accès au noyau devaient être signés numériquement.