Tribunes

Florange Telecom

L'approche radicaliste de l'architecture du Web : l'assembleur

Big Dataxe

Le Big Data individuel

La comptine du cloud

Toute les tribunes

La vidéo du moment
Actualité marchés verticaux

Chronopost lance la livraison le dimanche

par Rick
le 23/09/2017 à 12:33

Les notaires adoptent la lettre recommandée électronique de Maileva

par arnaud
le 13/09/2017 à 11:28

Captivea ouvre le premier club utilisateur SugarCRM francophone

par Celia Jay
le 21/08/2017 à 10:35

Captivea ouvre le premier club utilisateur SugarCRM francophone

par Francois PAPON
le 11/08/2017 à 11:59

Capgemini améliore sa marge

par lecteur-itrnews
le 10/08/2017 à 03:51

Rechercher
Services
Logo_abonn Job Les derniers communiqués de presse Proposer un communiqué de presse
Fils RSS : Top 10 quotidien

ShadowPad, l’une des plus importantes attaques jamais découvertes contre la chaîne logistique

jeudi 17 août 2017

Les experts de Kaspersky Lab ont découvert cet été qu’une backdoor (porte dérobée) avait été placée dans un logiciel de gestion de serveurs édité par NetSarang et utilisé par des centaines de grandes entreprises dans le monde. Lorsqu’elle est activée, cette backdoor permet aux attaquants de télécharger des modules malveillants ou de voler des données. Depuis l'éditeur a retiré le code malveillant et développé une mise à jour pour ses clients.

En juillet dernier, l’équipe internationale de recherche et d’analyse (GReAT) de Kaspersky Lab a été approchée par une institution financière qui avait enregistré des requêtes DNS (domain name server) suspicieuses provenant d’un système impliqué dans l’enregistrement des transactions. Une enquête plus poussée a révélé que ces requêtes trouvaient leur origine dans un logiciel de gestion des serveurs édité par une entreprise légitime (NetSarang) et utilisé par des centaines de clients dans des secteurs variés. L'éditeur n’avait, évidemment, pas prévu que son logiciel fasse ces demandes.

Des analyses complémentaires ont permis de découvrir que les requêtes suspicieuses venaient de l’activité d’un module malveillant baptisé ShadowPad, caché dans une version récente du logiciel. Suite à l’installation d’une mise à jour infectée du logiciel, le module malveillant commence à envoyer des requêtes DNS vers des domaines spécifiques (son serveur de commande et de contrôle) une fois toutes les 8 heures. La requête contient des informations basiques à propos du système de la victime (nom d’utilisateur, nom de domaine, nom d’hôte). Si les cyber criminels considèrent que le système est « intéressant », le serveur de commande répond et active une plate-forme complète de backdoor qui se déploie silencieusement sur l’ordinateur ciblé. Ensuite, sur commande des attaquants, la plateforme de backdoor peut télécharger et exécuter du code malveillant.

Une fois mise au courant, NetSarang a réagi très rapidement et mis à disposition une version mise à jour de son logiciel, sans code malveillant. « Cette affaire vient rappeler l’importance pour les grandes entreprises de s’équiper de solutions avancées capables de surveiller les activités réseau et de détecter des anomalies, explique Igor Soumenkov, chercheur en sécurité, GReAT, Kaspersky Lab. C’est le meilleur moyen de repérer des activités malveillantes, et ce même si les attaquants utilisent des techniques suffisamment sophistiquées pour cacher leur malware dans des logiciels légitimes ». 

Selon Kaspersky Lab, le module malveillant a été activé à Hong Kong, mais il pourrait être dormant sur beaucoup d’autres systèmes partout dans le monde, particulièrement si les utilisateurs n’ont pas installé la version mise à jour du logiciel.




SQ 250-300

Les 10 derniers articles mis en ligne