Technologie

Le malware de CCleaner cible les réseaux internes de Google, Microsoft et Samsung

Par

le

Les pirates derrière le malware ayant infecté CCleaner ciblent les réseaux internes d’entreprises tech comme Google, Microsoft et Samsung.

L’attaque d’un malware sur l’utilitaire Windows CCleaner peut avoir été plus ciblée et sophistiquée que prévu. Dans les jours qui ont suivi l’attaque, les chercheurs en sécurité ont scanné des données d’un centre de commandement et de contrôle saisi, constatant que les attaquants utilisaient le malware pour cibler certaines des entreprises technologiques les plus puissantes au monde.

Les nouveaux articles de Avast et du groupe de recherche Talos de Cisco détaillent ces résultats. Au moment où le serveur a été saisi, les attaquants ciblaient une chaîne de domaines internes avec une charge utile de la deuxième étape, conçue pour collecter des données et assurer un accès persistant à tout périphérique infecté.

La liste des domaines, publiée par Talos, révèle un certain nombre de grandes entreprises technologiques. « Ntdev.corp.microsoft.com » est un domaine interne pour les développeurs Windows, tandis que hq.gmail.com semble être l’instance interne de Gmail pour les employés de Google. D’autres cibles incluent Sony, Samsung, Intel et Akamai. Les domaines comprennent également une société allemande de machines à sous et des télécommunications majeures à Singapour et au Royaume-Uni.

La liste ne comprend que les domaines ciblés pendant les quatre jours précédant la saisie du serveur, de sorte qu’il est tout à fait possible que d’autres entreprises aient été ciblées plus tôt dans la campagne. Pourtant, la nature de la charge utile en deux étapes suggère que l’attaque a été ciblée, visant à pénétrer dans des entreprises spécifiques plutôt que de compromettre des millions d’ordinateurs à la fois. « Il s’agissait d’une attaque abreuvoir typique où il n’était pas intéressant pour l’attaquant de toucher la grande majorité des utilisateurs, mais ils devaient toutefois en toucher certains », ont expliqué les chercheurs d’Avast. Les chercheurs estiment que seulement 700 000 ordinateurs ont été exposés par l’attaque, contre des estimations antérieures de 2,2 millions.

Il n’est toujours pas clair quelles sociétés ont été compromises avec succès. Talos a enregistré au moins 20 ordinateurs ciblés par la charge utile, mais les chercheurs n’ont pas révélé quelles entreprises étaient impliquées. On ne sait pas trop ce que les attaquants cherchaient, bien que Talos note que les domaines ciblés «suggéreraient un acteur très concentré après une propriété intellectuelle précieuse».

Aucun groupe n’a fait de commentaire officiel, mais les chercheurs de Kaspersky ont noté un code similaire important entre l’attaque de CCleaner et les attaques précédentes du groupe de menace Axiom, constat que Talos a confirmé. Des recherches antérieures ont lié le groupe Axiom aux services de renseignement chinois avec une confiance modérée à élevée.

Pourtant, les chercheurs sont susceptibles d’en apprendre davantage sur la campagne dans les semaines à venir. Les données du serveur de commande initial ont révélé plusieurs autres serveurs utilisés dans l’attaque, que l’application de la loi travaille actuellement pour localiser et saisir.

Articles recommandés