Posté le septembre 30, 2022 à 7:05
UN NOUVEAU LOGICIEL MALVEILLANT CHINOIS EST SUSPECTÉ DE S’ATTAQUER À LINUX ET WINDOWS
Les hackers du Chaos peuvent lancer diverses attaques de piratage contre les structures Linux et Windows.
Le premier document découvert par les enquêteurs a été publié le 16 avril 2022, date exacte à laquelle la première opération de cluster a été enregistrée. À l’époque, le nombre de listes d’adresses IP comportant des enregistrements auto-signés incorporant le terme Chaos était de 15, chiffre qui est passé à 39 en mai.
Le nombre total de plateformes ciblées par Chaos est passé à 111 ce mois-ci, contre 93 le mois dernier. Selon Mark Dehus, directeur général des cyberincidents pour Lumen Black Lotus Labs, un logiciel malveillant compliqué a connu une croissance exponentielle au cours de ces deux derniers mois et est bien placé pour reprendre sa vitesse.
Le chaos, selon M. Dehus, représente un danger pour un large éventail de clients, d’équipements professionnels et de serveurs.
Les petits appareils de bureau, les serveurs d’entreprise et les équipements fonctionnant sous FreeBSD, Windows et Linux sur des frameworks tels que PowerPC, AArch64, MIPS64, MIPS, AMD64, Intel (x86) et ARM (v5 via v8) sont tous vulnérables au logiciel espion Chaos.
Par le biais de la cyberattaque DdoS, les auteurs du logiciel malveillant, qui sont potentiellement Chinois, ont dirigé des institutions dans les secteurs des jeux vidéo, de la banque, des nouvelles technologies, des médias et de l’industrie du divertissement, ainsi que des transactions en monnaie numérique. Les acteurs malveillants de Chaos ont même endommagé efficacement un contrôleur de domaine GitLab et ont visé d’autres cybercriminels engagés dans des processus DDoS-as-a-service.
Les enquêteurs de Black Lotus Labs, Danny Adamitis, Steve Rudd et Stephanie Walkenshaw, ont examiné près de 100 échantillons de logiciels malveillants Chaos et ont conclu : Compte tenu de la capacité du logiciel malveillant à s’exécuter sur un large éventail d’appareils d’utilisateurs finaux et d’entreprises, de ses caractéristiques multifonctionnelles et des caractéristiques de dissimulation des installations du système qui le sous-tendent, ils estiment avec une modeste assurance que cette action est le fait d’un acteur criminel en ligne qui favorise un système de systèmes infectés.
Les enquêteurs décrivent Chaos comme la dernière incarnation du botmaster Kaiji, rencontré en 2020 et qui utilise le SSH brute pushing pour envahir différents bots afin de lancer des menaces DDoS. Chaos s’étend au-delà de Kaiji, utilisant la récolte vitale SSH et l’asservissement automatisé des vulnérabilités pour cibler de nombreuses nouvelles configurations, notamment Windows et Linux.
Selon les chercheurs, Chaos a proliféré depuis la première preuve documentée de son existence en pleine mer, malgré une évolution importante par rapport à son précurseur.
Chaos est publié en Go, un langage qui offre une agilité, une flexibilité, une difficulté de rétro-ingénierie et des capacités de compilation de logiciels multiplateformes, qui font défaut à plusieurs applications de nos jours. Denonia, un spyware actuel de minage de crypto-monnaies conçu pour attaquer AWS Lambda, est également rédigé en Go, mais il ne fonctionne pas sur différentes plateformes.
Une menace plus sérieuse que d’habitude
D’autre part, Chaos semble avoir une application beaucoup plus large pour les opérations cybercriminelles que Denonia, qui serait uniquement utilisé pour le minage non autorisé de monnaie virtuelle en réquisitionnant les actifs AWS Lambda.
La chaîne de menaces Chaos comprend l’installation initiale du spyware sur un système ciblé, la persévérance, les instructions de mise en scène, toute instruction d’exécution supplémentaire, l’installation d’un shell backward et, enfin, les processus de DDoS ou de minage de monnaie virtuelle.
Chaos diffère des autres variétés de logiciels malveillants car il peut réaliser des opérations automatisées de susceptibilité pour les forces latérales ou de SSH par la force avec des clés SSH volées. En outre, le reverse shell permet au contrôleur du logiciel malveillant de télécharger, d’installer ou de modifier les données de l’architecture de contrôle et de commande (C2) Chinoise.
Chaos avait mentionné quelques vulnérabilités existantes pour en profiter, notamment CVE-2022-30525 et CVE-2017-17215, qui sont toutes deux des faiblesses d’exécution de code à distance trouvées dans les systèmes de sécurité individuels de Zyxel et Huawei, respectivement. Le logiciel espion exploite également la CVE-2022-1388, une faille du téléphone BIG-IP de F5 qui permet aux hackers malveillants d’exécuter des commandes de manière arbitraire pour créer, supprimer ou désactiver des services.
Un contenu Lumen contient des informations techniques sur le logiciel malveillant.
Les données de suivi de Black Lotus Labs montrent que les systèmes de Chaos ai sont les plus courants en Europe. Cependant, ce logiciel malveillant a également été remarqué dans certains pays d’Asie-Pacifique et d’Amérique. Lumen n’a découvert aucun trafic en Afrique, en Nouvelle-Zélande et en Australie.
Étant donné que Chaos s’attaque aux équipements qui ne sont pas régulièrement surveillés, un suivi soutenu devrait permettre de déjouer les attaques. Plus particulièrement, les enquêteurs de Black Lotus Labs ont conseillé de mettre en place des protocoles de gestion des correctifs appropriés et récurrents, car le virus recherche les failles de sécurité.
En outre, les administrateurs/utilisateurs doivent modifier les mots de passe standard fournis avec les appareils SOHO et désactiver la disponibilité de la racine distante lorsqu’elle n’est pas nécessaire. Empêcher le vol des clés SSH en les cachant sur les machines qui en ont besoin.
