[actualités] Un malware coordonné par un groupe de discussions Google

Un malware intéressant a été repéré dans la nature : il s’agit d’un cheval de Troie Windows qui serait utilisé dans des attaques par rebond. Jusqu’ici rien d’original, si ce n’est que le troyen est coordonné au moyen d’une structure « command & control » (« c&c » -- aussi appelé « coordination ») hébergée sur un groupe de discussion Google.

Le malware est probablement d’origine chinoise, d’après l’analyse du code-source réalisée par Symantec, ainsi qu’en raison de la langue paramétrée pour le groupe (chinois simplifié – ce qui situerait les auteurs du malware en Chine, et non pas à Taiwan, où le chinois simplifié n’existe pas). Le groupe de discussion Google contient toute une série de messages chiffrés (base64 + RC4), qui contiennent des instructions à exécuter par le troyen ; ces instructions sont des commandes réseau de reconnaissance : résolution DNS, ping, et scan de ports. D’autres commandes portent sur l’ajout d’utilisateurs sur les machines infectées de manière à ouvrir une porte dérobée pour le pirate. Symantec suppose que le cheval de Troie aurait pu être conçu à des fins d’espionnage, ce qui est effectivement possible.

Les chevaux de Troie utilisent depuis quelques temps des techniques particulièrement innovantes pour se coordonner. Si il y a 10 ans on voyait surtout des botnets coordonnés par IRC, depuis quelques années les structures C&C sont hébergées sur des serveurs web accessibles en HTTP(S). En 2006, le ver Storm Worm implémentait une structure de contrôle en pseudo-P2P, destinée à masquer l’existence d’un serveur C&C central. Début 2009, Conficker implémentait une véritable coordination P2P, en poussant le concept jusqu’au bout, mais en ne renonçant pas à un second mode de coordination alternatif via un serveur central (ce mode de coordination ayant d’ailleurs été contrecarré par le Conficker Working Group avec l’enregistrement préventif de plusieurs centaines de milliers de domaines avec lesquels Conficker prévoyait d'entrer en communication).

Depuis, d’autres expériences ont été tentées par les pirates : plusieurs chevaux de Troie sont désormais contrôlés à travers des structures C&C hébergées sur Twitter. Le but recherché est d’entraver au maximum l’action des forces de l’ordre : d’une part, en rendant plus difficile l’intrusion sur le serveur C&C – le pirate bénéficiant de la protection implicite des serveurs de Twitter ou de Google Groups, et n’a pas à se soucier lui-même de sécuriser sa machine ; et d’autre part, à minimiser les traces du pirate et les éléments à charge pouvant être retenus contre lui. En effet, à l’inverse des serveurs C&C dédiés qui sont utilisés comme de véritables outils de travail collaboratif, et où sont souvent stockées des informations particulièrement compromettantes pour les pirates (logs de connexion, fichiers, bases de données, etc. pouvant induire un profilage très précis des criminels), un C&C sur Twitter ou Google Groups n’est rien d’autre qu’un canal de communication unidirectionnel pour le botnet. Et enfin, cela complique la tâche des administrateurs réseaux qui chercheraient à détecter et interdire l'accès aux serveurs C&C depuis le réseau de l'organisation en se basant sur des listes noires de domaines ou d'adresses IP.

On peut aussi imaginer à l’avenir un malware tirant ses instructions de profils Facebook, MySpace ou Flickr, et téléchargeant ses mises à jour depuis des sites de partage de fichiers.

Cette démarche est toutefois peu adaptée aux botnets de grande taille, en raison du trafic important qu’ils génèrent, et induit un risque accru de décapitation du réseau, dans la mesure où Twitter et Google réagissent rapidement à de tels signalements.

Pierre Caron - Cert-Lexsi

ZDNET