Platinum Nugget. Image Source: Wikipedia
Il existe essentiellement deux types d'équipes de piratage. Le premier type est après profit rapide, récolte des numéros de carte de crédit et coordonnées bancaires. Le second type est plus dangereux, même si cela n'affecte pas directement la situation financière des victimes, car il est concentré sur l'espionnage à long terme.
En outre, les cibles de ces équipes de piratage sont généralement des organisations gouvernementales, agences de renseignement et de défense, ou même les FAI.
Histoires connexes:
Hot Potato Exploit Versions récentes de Windows met en danger
Comment résoudre les problèmes avec Windows Update
L'utilisateur de Windows Bible de sécurité sur les mises à jour et Flaws
Maintenant, imaginez qu'une équipe de piratage en particulier a attaqué tout ce qui précède, et a été si persistante que même l’équipe de Microsoft Windows Defender Advanced Threat Hunting n’est pas près d’identifier l’équipe.
Un regard sur les attaques de l'équipe de piratage PLATINUM
Cette équipe de piratage a été étiquetée PLATINUM, suivant la tradition de Microsoft de nommer les groupes de menaces après les composés chimiques.
Les membres de PLATINUM ont appliqué de nombreuses techniques au fil du temps, et ont exploité de nombreuses vulnérabilités zero-day pour s'introduire dans le système des victimes et infecter leurs réseaux. Microsoft vient de publier un rapport détaillé décrivant les armes de PLATINUM, et il est publié sur Microsoft Technet.
L'une des techniques est particulièrement intéressante – il utilise les capacités de Windows contre… Fenêtres. C'est ce qu'on appelle le hotpatching:
Le correctif à chaud est une fonctionnalité de système d'exploitation précédemment prise en charge pour installer des mises à jour sans avoir à redémarrer ou redémarrer un processus. Il nécessite des autorisations de niveau administrateur, et à un niveau élevé, un hotpatcher peut appliquer de manière transparente des correctifs aux exécutables et aux DLL dans les processus en cours d'exécution.
Hotpatching de Microsoft mis à profit
Le correctif à chaud a été initialement introduit dans Windows Server 2003. L'équipe de piratage avancé a utilisé le hotpatching contre Windows Server 2003, Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista et Windows 7. Le correctif à chaud n'est pas disponible sous Windows 8 plus, pendant que Windows 10 n'est pas du tout sujet à de telles attaques.
L'enquête de Microsoft indique que PLATINUM est actif depuis 2009, ciblant principalement les organisations gouvernementales, agences de renseignement et fournisseurs de télécommunications en Asie du Sud et du Sud-Est.
Le groupe a développé des, sans surprise, techniques clandestines qui les aident à ne pas être détectés et à réussir dans toutes les attaques. Le pire, c'est que des campagnes de cyberespionnage «silencieuses» peuvent se dérouler sur une longue période., sans le moindre soupçon.
L’un des échantillons étudiés par l’équipe de professionnels de MS’S a non seulement pris en charge le correctif à chaud, mais a également pu appliquer des techniques d’injection de code plus courantes., y compris la liste ci-dessous, dans les processus Windows courants tels que winlogon.exe, lsass.exe et svchost.exe:
CreateRemoteThread
NtQueueApcThread pour exécuter un APC dans un thread dans le processus cible
RtlCreatUserThread
NtCreateThreadEx
Était Vraiment pris par surprise?
Comme le souligne Arstechnica, la communauté informatique a été avertie de l'utilisation du hotpatching dans des scénarios malveillants 2013 chez SyScan. C'est à ce moment que le chercheur en sécurité Alex Ionescu décrit les façons dont le hotpatching pourrait être appliqué pour modifier les systèmes afin d'injecter des logiciels malveillants sans avoir à injecter de DLL. Les chercheurs ont récemment tweeté que «Mon SyScan 2012 attaque à chaud maintenant utilisée dans la nature!", lien vers l'article Technet de Microsoft sur PLATINUM.
Microsoft est toujours à la recherche de Platinum. Évidemment, ils n'ont aucune idée de qui tire les ficelles de ces opérations persistantes de cyberespionnage. On ne sait toujours pas pourquoi l'entreprise n'a rien fait pour éviter les attaques de hotpatching. L'équipe de recherche avancée contre les menaces Windows Defender aurait certainement dû voir cela venir.
Sans oublier que dans 2006, lors de la conférence Black Hat, Le chercheur en sécurité Alex Sotirov a décrit le fonctionnement interne du hotpatching et a également expliqué comment des tiers avaient suggéré des correctifs pour les vulnérabilités Windows avant la publication des correctifs officiels.