Le Ministère du Travail américain infiltré. Des traces de hackers Chinois retrouvés. Analyse ! DataSecurityBreach.fr vient d’être alerté par Jaime Blasco, directeur du labs d’AlienVault au sujet de plusieurs infiltrations web d’envergure qui semblent être signés par des hackers Chinois. Dans les « cibles », le site du ministère du Travail américain. Les pirates y ont caché un code malveillant.
L’idée des intrus, installer une redirection sur un programme espion. Au cours des dernières heures, Data Security Breach a pu identifier plusieurs autres sites web, moins importants que cet espace ministériel. Les pirates ont profité du site sem.dol.gov pour, ensuite, piéger dol.gov, dol.ns01.us et statse.webtrendslive.com. Lors de la visite de « SEM », l’internaute se retrouvait à lire, via son navigateur, le fichier textsize.js. Un JavaScript qui contient le code suivant malveillant. Le serveur « malicieux » est exécuté via un fichier baptisé xss.php caché sur NS01.
Le script pirate recueille beaucoup d’informations du système et il télécharge les informations recueillies sur le serveur malveillant. L’attaque est intéressante car dans les commandes de l’outil pirate, un détecteur de Flash fonctionnant sur l’ordinateur du visiteur, ainsi que des tueurs d’antivirus. Le code malveillant élimine l’antivirus Bitdefender. Une fonction détermine si BitDefender est exécuté sur le système et le désactive. Même sanction pour Avast antivirus et AntiVir. Pour ce dernier cas, le code pirate cherche la présence de l’extension fonctionnant sou Chrome. Le JavaScript cherche aussi les antivirus : Avira, BitDefender 2013, McAfee entreprise, avg2012, Eset nod32, Dr.Web, Mse, Sophos, f-secure 2011, Kaspersky 2012/2013 ainsi que les versions de Microsoft Office, Adobe Reader installés.
Une fois que toutes les informations ont été collectées, il communique les données via le fichier js.php (caché sur NS01). Cette attaque ressemble à celle lancée, il y a quelques semaines, à l’encontre de plusieurs ONG. La faille exploitée dans le départ de cette attaque a été fixée en début d’année (CVE-2012-4792). Elle avait fait surface en décembre 2012. La charge utile lancée dans le piratage du Ministère Américain est cachée dans le fichier bookmark.png sur NS01.
Une fois dans le pc du visiteur, le fichier espion se cache dans la machine sous le nom de conime.exe. Il se connecte à un C&C sur microsoftUpdate.ns1.name pointant vers un serveur DNS Google 8.8.8.8. Il pointait, quelques temps auparavant sur 173.254.229.176. L’attaque, du moins le code pirate Deep Panda, est connu pour être exploité par un chinois (Mr. Sun, CardMagic, Edward Sun, …). Les premières traces datent de 2007.
Pour se protéger de ce type d’attaque, data security breach vous conseille de mettre à jour l’ensemble de vos outils web (Flash, PDF, navigateur, antivirus) et bloquer JavaScript.