Les hackers ont utilisé TeamViewer, un logiciel de maintenance à distance, pour prendre pied dans le réseau de l’éditeur Piriform. Ils sont restés planqués pendant des mois avant de véroler les mises à jour de CCleaner.
L’affaire avait fait grand bruit. En septembre 2017, l’éditeur de CCleaner, Piriform, annonçait que certaines versions de son célèbre logiciel utilitaire étaient vérolées. Des pirates avaient réussi à introduire dans l’exécutable une backdoor avant même sa diffusion par les serveurs de mise à jour. Au total, 2,27 millions d’utilisateurs ont été infectés par ce malware dont le but était d’analyser le contexte de l’ordinateur et, le cas échéant, d’installer un « downloader », c’est-à-dire un malware dont le but est d’installer d’autres malwares. Le downloader n’a finalement été installé que sur une quarantaine de machines, au sein d’entreprises high-tech. Preuve qu’il s’agissait d’une opération très ciblée.
Depuis, les chercheurs en sécurité d’Avast – qui a racheté Piriform en 2017 – ont mené leur enquête et ont découvert comment les pirates avaient procédé. On sait désormais que ces derniers ont pris pied dans le réseau interne de Piriform le 11 mars 2017 à cinq heures du matin, en se connectant sur une station de travail d’un développeur via le logiciel TeamViewer. Très utilisé dans le domaine high-tech, celui-ci permet de prendre le contrôle à distance d’une machine à des fins de maintenance. Dans le cas présent, les pirates ont manifestement obtenu les codes d’accès TeamViewer par un autre moyen, car ils n’ont eu besoin que d’un essai pour se loguer.
Ils ont pris pied dans un « serveur de build »
Cette station de travail a été utilisée comme tremplin pour infecter trois autres ordinateurs dans le réseau. Les pirates ont opté pour cela pour un outil de piratage qui était déjà apparu dans le radar de Kaspersky en août 2017, à savoir ShadowPad. Il s’agit d’une plateforme d’espionnage modulaire qui intègre des fonctions telles que la collecte de frappes de clavier ou le vol de mots de passe. Les pirates ont réussi plus particulièrement à pirater un « serveur de build » utilisé pour créer les exécutables CCleaner. Les logs de ShadowPad montrent par ailleurs que les malfaiteurs sont parvenus à collecter des identifiants pour Visual Studio, la plateforme de développement de Microsoft. Ils avaient donc tout ce qu’il fallait pour injecter leur malware dans CCleaner. Bizarrement, ils ont quand même attendu cinq mois avant de passer à l’action.
Avast ne sait pas si le downloader qui a infecté les 40 machines a réellement téléchargé un troisième malware (après la backdoor de CCleaner et du downloader). L’éditeur pense néanmoins que si tel était le cas, il s’agissait probablement de ShadowPad. Deux autres échantillons de ce malware ont été trouvé en Corée du sud et en Russie, où sa présence remonte jusqu’en 2014. D’après certains éléments trouvés dans le code des différents malwares utilisés, l’organisation qui se cache derrière toute cette action serait Axiom alias APT 17, un groupe de pirates d’origine chinoise dont la spécialité est l’espionnage industrielle.
Source: Avast