- Les acteurs présumés soutenus par le gouvernement nord-coréen que Google TAG suit continuent de cibler les chercheurs en sécurité spécialisés dans la recherche et le développement de vulnérabilités, et une 0-day activement exploitée a été confirmée dans une campagne récente
- Les attaquants nouent une relation sur X, puis déplacent la conversation vers Signal, WhatsApp ou Wire, avant d’envoyer aux chercheurs en qui ils ont établi une relation de confiance un fichier malveillant contenant une 0-day dans un package logiciel populaire
- Après la réussite de l’exploit, le shellcode effectue une détection de machine virtuelle et transmet les informations collectées ainsi que des captures d’écran à un domaine C2 contrôlé par l’attaquant
- GetSymbol, un outil Windows soupçonné d’être un autre vecteur d’infection, se présente comme un utilitaire de téléchargement de symboles de débogage, mais peut télécharger et exécuter du code arbitraire depuis un domaine contrôlé par l’attaquant
- TAG a ajouté les domaines concernés à Safe Browsing, envoyé des alertes d’attaquant soutenu par un gouvernement aux utilisateurs Gmail et Workspace ciblés, et recommande Chrome Enhanced Safe Browsing ainsi que la mise à jour des appareils
Ciblage répété des chercheurs en sécurité
- En janvier 2021, le Google Threat Analysis Group (TAG) avait publié une campagne dans laquelle un acteur soutenu par le gouvernement nord-coréen ciblait des chercheurs en sécurité spécialisés dans la recherche de vulnérabilités au moyen d’exploits 0-day
- Au cours des deux ans et demi qui ont suivi, TAG a continué à suivre et à bloquer des campagnes de la même famille, tout en identifiant des 0-day afin de protéger les utilisateurs en ligne
- La nouvelle campagne récemment identifiée pourrait être menée par le même acteur, en raison de ses similarités avec les activités précédentes
- Ces dernières semaines, au moins une 0-day activement exploitée a été utilisée dans des attaques visant des chercheurs en sécurité, et la vulnérabilité a été signalée au fournisseur concerné
- Le fournisseur a publié un correctif le 12 septembre 2023, et TAG a publié une root cause analysis conformément à la politique de divulgation de Google
Création de relations sur les réseaux sociaux, puis envoi de fichiers malveillants
- Comme dans les campagnes précédentes, les attaquants prennent d’abord contact avec les chercheurs ciblés via des réseaux sociaux comme X
- Dans un cas, ils ont maintenu pendant plusieurs mois une conversation avec un chercheur en sécurité autour d’intérêts communs, en tentant de collaborer
- Les échanges commencés sur X sont ensuite déplacés vers des messageries chiffrées comme Signal, WhatsApp ou Wire
- Une fois la confiance établie, les attaquants envoient un fichier malveillant contenant au moins une 0-day dans un package logiciel populaire
- Si l’exploit réussit, le shellcode effectue plusieurs contrôles anti-machine virtuelle
- Il envoie ensuite les informations collectées et des captures d’écran à un domaine de commande et contrôle contrôlé par l’attaquant
- La manière dont le shellcode est structuré est similaire à celle observée dans de précédents exploits nord-coréens
Potentiel second vecteur d’infection via GetSymbol
- Indépendamment du ciblage par 0-day, les attaquants ont aussi développé un outil Windows autonome
- Cet outil prétend servir à télécharger des symboles de débogage depuis les serveurs de symboles de Microsoft, Google, Mozilla et Citrix pour les ingénieurs en rétro-ingénierie
- Le code source a été publié pour la première fois sur GitHub le 30 septembre 2022, puis plusieurs mises à jour ont été diffusées
- En apparence, il ressemble à un utilitaire permettant de télécharger rapidement des informations de symboles depuis plusieurs sources
- Les Symbols fournissent des informations supplémentaires sur les binaires, qui peuvent aider à déboguer des problèmes logiciels ou à mener des recherches sur les vulnérabilités
- Mais cet outil comprend aussi une fonctionnalité permettant de télécharger et exécuter du code arbitraire depuis un domaine contrôlé par l’attaquant
- TAG recommande à toute personne ayant téléchargé ou exécuté cet outil de vérifier que son système est dans un état connu comme sain, ce qui peut nécessiter une réinstallation du système d’exploitation
Mesures de protection de Google
- TAG utilise les résultats de ses recherches sur les acteurs de menace sérieux pour améliorer la sûreté et la sécurité des produits Google
- Tous les sites web et domaines identifiés ont été ajoutés dès leur découverte à Safe Browsing afin de protéger les utilisateurs contre de nouvelles exploitations
- Des government-backed attacker alerts ont été envoyées aux utilisateurs Gmail et Workspace ciblés
- Il est recommandé aux cibles potentielles d’activer Enhanced Safe Browsing dans Chrome et de maintenir tous leurs appareils à jour
- À mesure que la compréhension des tactiques et techniques progresse, les capacités de threat hunting et la protection des utilisateurs dans l’ensemble du secteur peuvent également être renforcées
Sites et comptes contrôlés par les attaquants
-
GetSymbol
https://github[.]com/dbgsymbol/https://dbgsymbol[.]com- 50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
- 0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
- 2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
- 5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bd
-
IP/domaines C2
23.106.215[.]105www.blgbeach[.]com
-
Compte X
-
Compte Wire
@paul354
-
Compte Mastodon
1 commentaires
Avis sur Hacker News
L’outil getsymbol sur GitHub a reçu 214 étoiles, mais on ne voit aucune bannière indiquant qu’il s’agit d’un outil malveillant
Une issue récente contient bien un lien vers l’article du blog de Google, mais c’est tout
Si quelqu’un de chez GitHub regarde, je recommande vivement d’ajouter une bannière ou une fenêtre modale d’avertissement sur la porte dérobée pour cet outil et les autres logiciels connus pour contenir une backdoor (par exemple les forks)
Je l’ai fait moi-même plusieurs fois :(
Il est bien plus probable que la backdoor se trouve dans les versions binaires ou dans le binaire de mise à jour automatique
Si vous compilez vous-même puis acceptez la mise à jour automatique, vous pouvez être infecté ; et comme le binaire fait plus de 15 Mo, il y a largement assez de place pour cacher une petite backdoor
S’ils ont des points communs avec d’autres projets obscurs, cela pourrait indiquer que ces comptes sont des comptes marionnettes
Je me demande à quel point les sites de téléchargement populaires sont fiables
Par exemple, les binaires Windows de ffmpeg[1] sont hébergés sur le site d’un particulier
On peut vérifier les sommes de contrôle, etc., mais cela ne garantit pas pour autant qu’elles correspondent à un commit Git précis
Sans builds reproductibles ou attestés, les téléchargements hébergés hors GitHub / de manière non officielle sont pour moi, par défaut, à considérer comme émanant d’un acteur étatique
Suis-je paranoïaque ? Comment les gestionnaires de paquets Linux/Mac résolvent-ils ce problème ?
[1] https://ffmpeg.org/download.html
C’est effectivement arrivé à Linux Mint
https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
Si l’on ne vérifie pas les issues, il paraît tout à fait normal
https://github.com/dbgsymbol/getsymbol
Le téléchargement Windows est fourni par "shinchiro" sur SourceForge, et le téléchargement MacOS par "stolendata" sur stolendata.net
On en est encore plutôt aux débuts
Ce n’est ni choquant ni nouveau, mais c’est intéressant
Pourquoi utiliser un 0-day contre un chercheur en sécurité ? À mon avis, c’est un test qui présente des avantages
Si cela fonctionne contre un chercheur en sécurité, on peut considérer que c’est une bonne vulnérabilité et la déployer sur le terrain ; à long terme, ils ont probablement aussi calculé la possibilité d’obtenir 1+x 0-day auprès de ce chercheur
Pour le chercheur en sécurité aussi, la situation est intéressante
S’il est suffisamment prudent et capable de faire semblant d’être suffisamment idiot, il peut peut-être récolter « gratuitement » des vecteurs d’attaque récents ou des 0-day, mais s’il se surestime, il se fait immédiatement compromettre
Cet outil a aussi une fonction permettant de télécharger et d’exécuter du code arbitraire depuis un domaine contrôlé par l’attaquant
Autrement dit, une mise à jour automatique
C’est grâce aux Big Tech qui ont conditionné le public à accepter cette dépendance, ou qui ont supprimé de force les autres choix ; et l’ironie, c’est que cette attitude dépendante et confiante s’est maintenant propagée jusqu’aux chercheurs en sécurité et revient les mordre
Certains d’entre nous savaient dès le départ où cette attitude mènerait, et nous n’étions pas tous des chercheurs en sécurité
Nous avions simplement observé les autres effets négatifs qui surviennent lorsqu’on autorise quelqu’un à pousser quelque chose sur nos machines et à l’exécuter, puis nous avons fait le lien
Pure spéculation, mais une nouvelle mise à jour de sécurité macOS vient de sortir et elle contient ceci
« Impact : le traitement d’une image conçue de manière malveillante peut entraîner l’exécution de code arbitraire. Apple est au courant d’un rapport indiquant que ce problème pourrait avoir été exploité activement. »
https://support.apple.com/en-us/HT213906
Je ne suis pas du genre à parier, mais je suppose que la vulnérabilité dont il est question est celle-ci
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
https://support.apple.com/en-us/HT213905
Ce que je me demande, c’est ceci
Ces Nord-Coréens ont forcément un accès Internet sans restriction, puisqu’en pratique c’est nécessaire pour trouver des 0-day, et il est clair qu’ils comprennent au moins l’anglais.
Alors comment auraient-ils pu ne jamais tomber par hasard sur des médias qui montrent ce que les médias d’État cachent ?
En réalité, comme les services de renseignement des autres pays, ils recrutent évidemment sur le critère du patriotisme.
Cette question revient un peu à demander pourquoi un agent du renseignement américain, après avoir eu accès à des informations sur la Corée du Nord allant au-delà de la propagande, ne fait pas défection vers la Corée du Nord pour sa meilleure couverture médicale, ses écoles sans fusillades de masse et sa meilleure gestion des déchets.
Ils n’accordent probablement pas de valeur aux aspects de la société nord-coréenne qui pourraient sembler meilleurs, et ne croient peut-être pas non plus qu’ils soient réellement meilleurs dans tel ou tel contexte.
Je ne vois pas vraiment pourquoi les services nord-coréens seraient différents.
Ils le connaissent probablement.
Ils disposent d’autres moyens de les contrôler : la carotte, ce sont les privilèges en Corée du Nord ; le bâton, ce sont les conséquences pour eux et leur famille s’ils franchissent la ligne.
Partir vers un pays plus libre est difficile pour n’importe quel Nord-Coréen, et avec la carotte et le bâton, ils ne peuvent probablement pas simplement arrêter de hacker.
Ils sont sans doute étroitement surveillés.
Certains croient peut-être vraiment à la propagande, et ces personnes doivent être plutôt bien traitées.
Cela n’excuse pas pour autant les torts de la Corée du Nord.
Ils sont étroitement surveillés sur leur lieu de travail et subissent souvent des menaces visant leur famille.
Je me demande quelle est la probabilité qu’un chercheur en sécurité exécute un binaire Windows reçu par chat de la part d’un inconnu.
Avant même de parler d’initiation à la sécurité, c’est désormais presque du simple bon sens.
J’aurais plutôt tendance à penser que les chercheurs ont eu l’occasion de jouer avec ce binaire dans un environnement sûr.
Comme l’attaquant a publié le code source, il n’y avait même pas besoin de faire de rétro-ingénierie.
De gentils black hats, en somme.
Au passage, quelqu’un peut-il trouver l’exploit dans le dépôt lié ? Je suis curieux de savoir ce qu’il fait, mais j’ai la flemme de parcourir tous les fichiers.
L’article original aurait aussi pu mettre ce lien et expliquer sur quoi il se base pour associer ce projet à des hackers nord-coréens.
Les jeunes professionnels de la sécurité sont encouragés à passer des certifications comme l’OSCP ou l’eJPT, et dans ce business des certifications il faut souvent compromettre des machines connues.
Cela crée une culture d’« entraide » sur les serveurs Discord, et une partie de cette aide prend la forme de binaires ou de code source obfusqué.
Ils exécutent ça sur leur ordinateur portable de pentest.
Ce portable contient des clés SSH donnant accès au serveur de rédaction des rapports, et s’il est compromis, la Corée du Nord finit par accéder aux données et vulnérabilités d’entreprises privées américaines.
J’ai peut-être déjà vu ce genre de chose en pratique.
Il s’agit d’un document lu par un programme qui exploitait un 0-day, et du fait qu’ils ont reçu ce document.
S’ils les rendaient publics, ils ne serviraient probablement plus à rien.
Si l’environnement d’un chercheur en sécurité n’est pas bien conçu, que ce soit par manque de budget ou par négligence, ce genre de chose arrive vraiment, et l’attaquant peut très vite atteindre la partie juteuse.
Je m’inquiète de voir les chercheurs attribuer ce genre de campagne avec autant de décontraction.
Ils ne donnent jamais leur méthodologie d’attribution, alors que ce qui retient toujours le plus l’attention des non-techniciens, c’est précisément cette attribution.
Rien que dans cet article, les deux premiers mots sont l’acteur attribué.
Mais il n’y a absolument aucun moyen de le prouver.
Sur Internet, l’attribution est vraiment, vraiment, vraiment difficile.
Nous ne savons même pas à quel point c’est difficile, puisque nous n’avons aucun moyen indépendant de déterminer si nous avons raison ou tort.
Il serait naïf de penser que l’attribution n’a rien à voir avec des motivations politiques.
Sur cette base, je pars du principe que l’attribution est globalement exacte.
Mais en prenant un peu de recul et en regardant les choses objectivement, le fait que la source de ce renseignement soit attentatoire à la vie privée paraît assez hypocrite.
Il est surprenant que la Corée du Nord parvienne à trouver suffisamment de hackers et de professionnels de cybersécurité de haut niveau pour faire ce genre de choses, alors que le niveau général d’éducation informatique de sa population est aussi faible.
Quand un enfant nord-coréen montre un talent en mathématiques, il est repéré, et s’il est suffisamment doué, il est envoyé dans une école spéciale de mathématiques, où il n’apprend pratiquement rien d’autre.
Il est ensuite envoyé dans l’unique université technique, où il étudie intensivement la programmation informatique pendant des années.
S’il passe les critères de sélection, il est envoyé en Chine et exploite un meilleur accès à Internet pour faire toutes sortes de choses, du vol d’or dans des MMORPG au phishing en passant par la recherche de 0-day.
Une vie lugubre, à base de journées de 12 heures, de pression permanente sur les résultats et de dortoirs exigus.
Donc un peu comme la Silicon Valley ;)
Même le dictateur suprême a fait ses études secondaires en Suisse.
« Tous les sites Web et domaines identifiés dès leur découverte sont ajoutés à Safe Browsing afin de protéger les utilisateurs contre toute exploitation supplémentaire. »
Dans le navigateur Brave, dbgsymbol.com ne déclenche aucun avertissement Safe Browsing.
Avertissement : vecteur inconnu.