Posté le août 4, 2020 à 14:33
LA CISA, LE DOD ET LE FBI RÉVÈLENT UNE NOUVELLE SOUCHE DE LOGICIEL MALVEILLANT CHINOIS
Les agences gouvernementales américaines ont découvert une nouvelle variété de logiciel malveillant chinois connue sous le nom de « Taidoor Trojan ». Les agences gouvernementales américaines ont déclaré que cette souche de logiciel malveillant était en activité depuis 2008, mais qu’elle s’était soigneusement cachée pour éviter d’être détectée.
Les trois agences gouvernementales américaines comprennent le Federal Bureau of Investigation (FBI), le Cyber Command (CyberCom) du ministère de la défense et l’Agence de cybersécurité et de sécurité des infrastructures du ministère de la sécurité intérieure (DHS CISA).
Un cheval de Troie lié aux hackers du gouvernement chinois
Ils ont publié l’alerte commune sur Taidoor aujourd’hui. Le cheval de Troie a été utilisé pour commettre les récentes infractions à la sécurité par les hackers du gouvernement chinois.
Les trois agences ont récemment entamé une collaboration pour publier le rapport conjoint sur leurs récentes découvertes de la souche de logiciels malveillants. Elles ont envoyé la première alerte commune en février de cette année lorsqu’elles ont informé le public de six nouvelles souches de logiciels malveillants que les hackers nord-coréens parrainés par l’État ont développées.
Le dernier cheval de Troie d’accès à distance développé par la Chine
Lors de la dernière alerte commune, les trois agences de sécurité ont mis en garde contre la nouvelle souche de logiciels malveillants connue sous le nom de Taidoor, qui est dirigée par les Chinois.
Selon les rapports des trois agences américaines, les nouvelles versions de logiciels malveillants des systèmes 64 et 32 bits sont généralement installées sur les systèmes des victimes sous la forme d’une bibliothèque de liens dynamiques (DLL).
Le DLL abrite deux autres fichiers
Les agences ont également déclaré que la DLL hébergeait deux autres fichiers malveillants. Le premier fichier, qui commence comme un service, est un chargeur. Il décrypte le second fichier, l’exécutant dans la mémoire (c’est le cheval de Troie d’accès à distance).
Par la suite, le Taidoor RAT est utilisé pour donner accès aux hackers chinois à des systèmes infiltrés et pour voler des données ou déployer d’autres logiciels malveillants. C’est généralement la tâche principale ou le domaine dans lequel les chevaux de Troie d’accès à distance sont déployés.
Selon le FBI, la Taidoor est généralement déployée en même temps que les serveurs proxy pour cacher la véritable base opérationnelle de l’opérateur du logiciel malveillant.
Les acteurs déploient le logiciel malveillant Taidoor depuis 2008
Bien que l’alerte conjointe des agences de sécurité serve d’information au monde de la cybersécurité, les agences de sécurité ont confirmé que le logiciel malveillant existe depuis plus de dix ans. L’United States Cyber Command a souligné que les logiciels malveillants ont été utilisés dans la nature au cours des douze dernières années. Ils ont déclaré que le logiciel malveillant infecte les systèmes des victimes depuis 2008.
Taidoor opère initialement sous un autre nom
Après que les trois organisations ont envoyé une alerte concernant le logiciel malveillant, Florian Roth, analyste des logiciels malveillants de Nextron Systems, a révélé qu’il avait déjà détecté les activités de Taildoor depuis l’année dernière. Cependant, il opérait sous le nom de Taurus RAT. Il a comparé les échantillons de Taidoor avec ceux de Taurus RAT, en soulignant que les deux sont identiques.
Recommandations en matière d’atténuation
Aujourd’hui, les trois agences ont publié un rapport conjoint d’analyse des logiciels malveillants (MAR) contenant les méthodes d’atténuation recommandées. Elles ont également proposé des suggestions sur les mesures à prendre par les entreprises et les organisations qui cherchent à prévenir les infections et à améliorer les méthodes de détection. Ce rapport est également destiné aux organisations déjà touchées qui souhaitent supprimer les logiciels malveillants de leurs systèmes.
Quatre échantillons du logiciel malveillant Taidoor ont déjà été téléchargés par l’United States Cyber Command. Les échantillons ont été téléchargés sur le portail VirusTotal. De là, les analystes indépendants de logiciels malveillants et les entreprises de cybersécurité peuvent télécharger les fichiers pour une analyse supplémentaire et obtenir plus d’indices sur le logiciel malveillant et ses méthodes de fonctionnement.
Les agences ainsi que d’autres entreprises de cybersécurité ont publié des conseils sur la prévention de ce logiciel malveillant et d’autres logiciels malveillants similaires. Les logiciels malveillants étant des chevaux de Troie, le moyen le plus efficace est de rester soucieux de la sécurité. Ils doivent obtenir une authentification à deux facteurs sur leurs appareils et applications pour empêcher les logiciels malveillants de s’introduire dans leurs serveurs.