Attaque de la chaîne d’approvisionnement de CCleaner
Au sein d’une infrastructure informatique aucun composant n’est à négliger sous prétexte que personne ne penserait à s’y attaquer. Pourtant, les serveurs de mise à jour du célèbre logiciel CCleaner ont été compromis le 12 septembre dernier.
Le logiciel de Piriform entre autre éditeur de Recuva et Defraggler a été modifié par des hackers afin d’emporter avec lui un malware sur les postes des utilisateurs. Dénommé « Floxif », il a été découvert et analysé par le groupe de recherche en sécurité informatique Talos de Cisco. Les versions infectées étaient les 5.33.6162 et 1.07.3191 de CCleaner et de CCleaner Cloud.
« Floxif créé un backdoor ou porte dérobée dans votre PC
Floxif a permis aux hackers d’installer une porte dérobée dans le logiciel CCleaner. Egalement appelée backdoor en anglais, elle permet à un attaquant d’avoir un accès distant sur la machine victime. Ainsi, il peut non seulement collecter des informations, mais aussi injecter d’autres programmes dans le système.
« Vous n’êtes pas la cible directe, en tout cas pas pour le moment
Dans le cas de CCleaner, la première phase de l’attaque consistait à collecter des informations. Figuraient parmi les données recueillies :
- Le nom de l’ordinateur ;
- La liste des logiciels installés ;
- La liste des processus actifs ;
- Les adresses MAC des 3 premières cartes réseau ;
- …
Ces informations permettaient aux hackers d’avoir une idée précise sur le PC cible. Ce qui devait les aider à affiner la prochaine étape de l’opération.
De grands constructeurs ciblés par un programme d’espionnage
La phase suivante devait permettre l’installation d’un second programme malveillant de type cheval de Troie. Les chevaux de Troie sont en apparence légitimes (fichiers DLL, …) mais peuvent avoir des missions aussi variées que l’espionnage. L’espionnage industriel semble donc être le mobile de cette attaque. L’analyse du code utilisé par les cybercriminel a révélé que les constructeurs suivants étaient ciblés :
- HTC,
- SAMSUNG,
- SONY,
- Vmware,
- Intel,
- CISCO,
- Linksys,
- EPSON,
- DLINK,
- …
Les savoir-faire, les recherches et autres connaissances conservées ou traitées à l’aide de l’outil informatique au sein des entreprises sont sujettes à ce genre de pratique criminelle. Il est donc important de protéger ses secrets aussi bien sur les plans juridiques que techniques. Il importe également d’assurer une veille sécuritaire permanente. C’est en aucun doute ce dernier point qui a permis à Piriform de remédier rapidement au problème en informant ses utilisateurs et en publiant de nouvelles mises à jour avec pour effet de mettre fin à l’attaque. Si vous possédez encore ces versions infectées, débarrassez-vous en téléchargeant les nouvelles mises à jour ici.