SALTINBANK - Bref "NETFILTER.SYS" M$ a encore fait une boulette monstrueuse [SUPPLY-CHAIN ATTACK]
3Cette forme de piratage insidieuse et de plus en plus courante est connue sous le nom d'"attaque de la chaîne d'approvisionnement", une technique dans laquelle un adversaire glisse un code malveillant ou même un composant malveillant dans un logiciel ou un matériel de confiance. En compromettant un seul fournisseur, des espions ou des saboteurs peuvent détourner ses systèmes de distribution pour transformer n'importe quelle application qu'ils vendent, n'importe quelle mise à jour logicielle qu'ils diffusent, même l'équipement physique qu'ils expédient aux clients, en chevaux de Troie. Avec une seule intrusion bien placée, ils peuvent créer un tremplin vers les réseaux des clients d'un fournisseur, faisant parfois des centaines voire des milliers de victimes.
"Les attaques de la chaîne d'approvisionnement sont effrayantes parce qu'elles sont vraiment difficiles à gérer et parce qu'elles montrent clairement que vous faites confiance à toute une écologie", explique Nick Weaver, chercheur en sécurité à l'Institut international d'informatique de l'UC Berkeley. "Vous faites confiance à chaque fournisseur dont le code est sur votre machine, et vous faites confiance au fournisseur de chaque fournisseur."
La sévérité de la chaîne d'approvisionnement La menace a été démontrée à grande échelle en décembre dernier, lorsqu'il a été révélé que des pirates informatiques russes – identifiés plus tard comme travaillant pour le service de renseignement étranger du pays, connu sous le nom de SVR – avaient piraté la société de logiciels SolarWinds et implanté un code malveillant dans son outil de gestion informatique Orion. , permettant d'accéder à pas moins de 18 000 réseaux qui utilisaient cette application dans le monde entier. Le SVR a utilisé cette emprise pour s'enfoncer profondément dans les réseaux d'au moins neuf agences fédérales américaines, dont la NASA, le département d'État, le ministère de la Défense et le ministère de la Justice.
Mais aussi choquante que soit cette opération d'espionnage, SolarWinds n'était pas unique. De graves attaques contre la chaîne d'approvisionnement frappent des entreprises du monde entier depuis des années, avant et depuis la campagne audacieuse de la Russie. Le mois dernier, il a été révélé que des pirates avaient compromis un outil de développement logiciel vendu par une société appelée CodeCov qui leur donnait accès à des centaines de réseaux de victimes. Un groupe de piratage chinois connu sous le nom de Baryum a mené au moins six attaques de chaîne d'approvisionnement au cours des cinq dernières années, cachant du code malveillant dans le logiciel du fabricant d'ordinateurs Asus et dans l'application de nettoyage de disque dur CCleaner. En 2017, les pirates informatiques russes connus sous le nom de Sandworm, qui font partie du service de renseignement militaire du pays GRU, ont détourné les mises à jour logicielles du logiciel de comptabilité ukrainien MEDoc et l'ont utilisé pour faire sortir un code destructeur auto-propagé connu sous le nom de NotPetya, qui a finalement infligé 10 milliards de dollars. en dommages dans le monde entier - le coût lit la cyberattaque dans l'histoire.
En fait, les attaques de la chaîne d'approvisionnement ont été démontrées pour la première fois il y a environ quatre décennies, lorsque Ken Thompson, l'un des créateurs du système d'exploitation Unix, a voulu voir s'il pouvait cacher une porte dérobée dans la fonction de connexion d'Unix. Thompson n'a pas simplement planté un morceau de code malveillant qui lui a permis de se connecter à n'importe quel système. Il a construit un compilateur - un outil pour transformer le code source lisible en un programme exécutable lisible par une machine - qui a secrètement placé la porte dérobée dans la fonction lors de sa compilation. Ensuite, il est allé plus loin et a corrompu le compilateur qui a compilé le compilateur, de sorte que même le code source du compilateur de l'utilisateur ne présente aucun signe évident de falsification. "La morale est évidente", a écrit Thompson dans une conférence expliquant sa démonstration en 1984. "Vous ne pouvez pas faire confiance à un code que vous n'avez pas totalement créé vous-même. (Surtout le code d'entreprises qui emploient des gens comme moi.)"
Sources:
https://www.nextron-systems.com/thor-lite/download/
https://www.ayesco.ng/microsoft-signed-a-malicious-netfilter-rootkit/
https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit