Des hackers chinois derrière le piratage de CCleaner ?

Sécurité

Par Elodie le

Plusieurs indices prouveraient l’implication du groupe de pirates informatiques chinois APT17 (ou Axiom, Group 72 et DeputyDog notamment) dans la cyberattaque perpétrée contre CCleaner.

Die Hard

En début de semaine nous apprenions que le nettoyeur de PC CCleaner avait été victime d’un piratage. Une attaque au potentiel dévastateur puisqu’à ce jour, le logiciel a été téléchargé plus de 2 milliards de fois à travers le monde et compte cinq millions de nouveaux utilisateurs chaque semaine.

Collecte massive de données

La mise à jour corrompue de CCleaner permettait l’implémentation d’une porte dérobée. En ajoutant des fonctionnalités au logiciel installé sur de nombreux PC Windows, les hackers ont pu s’adonner à une collecte massive de données :

– Nom de l’ordinateur ;
– liste des logiciels installés, dont les mises à jour Windows ;
– liste des processus actifs ;
– les adresses Mac des trois premières cartes réseau ;
– les éléments complémentaires (type de système, processus ayant accès aux privilèges Administrateur, etc.).

Aujourd’hui, cette attaque livre peu à peu ses secrets et semble pointer vers un groupe de hackers spécialisés dans le cyberespionnage. En effet, les dernières analyses effectuées par les chercheurs de Cisco Talos Intelligence montrent l’existence d’un second programme malveillant dans la version corrompue de CCleaner. Ce malware ne ciblait qu’un nombre infime de machines, mais pas n’importe lesquelles. Celles appartenant à des entreprises technologiques comme Samsung, Intel, Microsoft, Cisco ou VMware, une vingtaine de cibles importantes au total, laissant supposer que les pirates souhaitaient recueillir des informations sensibles et confidentielles.

Une campagne de cyberespionnage venue de Chine ?

Qui se cache donc derrière ce hold-up aux relents de cyberespionnage ? Plusieurs indices pointent vers la Chine et le groupe de hackers ATP17 lié au renseignement chinois. Parmi ces indices, un fichier PHP avec pour fuseau horaire PRC, pour People’s Republic of Chine, mais aussi un bout de code déjà utilisé par ATP17 dans un autre malware (Kaspersky) et qui ne se retrouve nulle part ailleurs, selon Intezer.

Autant d’éléments qui renforceraient l’hypothèse des pirates chinois, ce groupe étant connu pour ses moyens d’action aussi efficaces que sophistiqués, car quasiment indétectables.

Si la plupart des 700 000 machines infectées peuvent se contenter d’effectuer une mise à jour pour se débarrasser du malware , les sociétés visées devront prendre des mesures autrement plus complexes pour nettoyer leur PC.