Connu sous le nom de PlugX, ce ver persiste sur des millions d’appareils
Des millions d’adresses IP restent infectées par un ver USB, même après l’abandon de ses créateurs. Connu sous le nom de PlugX, ce malware a continué à se propager de manière autonome, sans contrôle externe, infectant des machines à travers le monde. Les chercheurs ont découvert que le ver persiste sur des millions d’appareils, ce qui soulève des dilemmes quant à savoir s’il faut le supprimer ou le laisser actif. Bien que des efforts aient été déployés pour intercepter le trafic malveillant, les décisions sur la désinfection restent complexes en raison des implications juridiques et de la possibilité de pertes de données légitimes. Les chercheurs ont laissé aux autorités compétentes le soin de décider de désinfecter ou non les machines infectées, tout en proposant une assistance technique pour lancer le processus si nécessaire.
Selon des chercheurs, un ver USB désormais abandonné, qui ouvre des portes dérobées sur des appareils connectés, a continué à s’autoreproduire pendant des années après que ses créateurs en ont perdu le contrôle et reste actif sur des milliers, voire des millions, de machines. Le ver – qui a été découvert pour la première fois dans un article publié en 2023 par l’entreprise de sécurité Sophos – est devenu actif en 2019 lorsqu’une variante du logiciel malveillant connu sous le nom de PlugX a ajouté une fonctionnalité qui lui permettait d’infecter automatiquement les lecteurs USB. À leur tour, ces clés infectaient toute nouvelle machine à laquelle elles étaient connectées, ce qui permettait au logiciel malveillant de se propager sans nécessiter d’interaction de la part de l’utilisateur final. Les chercheurs qui ont suivi PlugX depuis au moins 2008 ont déclaré que le logiciel malveillant provenait de Chine et avait été utilisé par divers groupes liés au ministère de la sécurité de l’État de ce pays.
PlugX est un malware à porte dérobée assez courant (un RAT, cheval de Troie d’accès à distance) d’origine chinoise, qui s’appuie sur le chargement latéral de DLL pour accomplir sa sale besogne. Sophos écrit à son sujet depuis des années. Même la version USB-aware, qui peut à la fois se propager via USB et s’emparer d’informations à partir de réseaux aériens via USB, est dans le collimateur des défenseurs depuis plusieurs années. Cependant, de nouvelles variantes sont apparues régulièrement ces dernières années, parfois dans des endroits remarquablement éloignés.
Le premier aperçu de la dernière variante du ver provient d’une alerte CryptoGuard probablement déclenchée par l’exfiltration de données. (L’infection comprend un exécutable propre (AvastSvc.exe) susceptible de recevoir des DLL en sideloading ; plusieurs instances d’une DLL malveillante (wsc.dll) en sideloading dans le clean loader ; une charge utile .dat chiffrée ; et (dans un répertoire appelé RECYCLER.BIN) une collection de fichiers volés et chiffrés avec des noms obfusqués en base64 :
Par des circonstances mystérieuses, le créateur du ver a abandonné l’unique adresse IP servant de canal de commande et de contrôle. Avec personne pour surveiller les machines infectées, le ver PlugX semblait être mort, du moins en théorie. Cependant, selon les chercheurs de la société de sécurité Sekoia, le ver est resté actif sur un nombre inconnu de machines, potentiellement plusieurs millions.
Les chercheurs ont pris l’initiative d’acheter cette adresse IP et ont mis en place leur propre infrastructure serveur pour “sinkholer” le trafic, c’est-à-dire intercepter les communications afin de les empêcher d’être exploitées à des fins malveillantes. Depuis lors, leur serveur reçoit quotidiennement du trafic PlugX provenant de 90 000 à 100 000 adresses IP uniques. En six mois, ils ont répertorié des requêtes provenant de près de 2,5 millions d’adresses IP uniques. Bien que le nombre d’adresses IP ne corresponde pas directement au nombre de machines infectées, le volume indique néanmoins que le ver reste actif sur des milliers, voire des millions, d’appareils.
Felix Aimé et Charles, chercheurs chez Sekoia, ont partagé : « Nous nous attendions initialement à ce que le nombre de victimes connectées à ce ver soit similaire à nos expériences antérieures, mais l’installation d’un simple serveur web a révélé un flux constant de requêtes HTTP, variant selon l’heure du jour. » Ils ont également noté que d’autres variantes du ver sont encore actives via au moins trois autres canaux de commande et de contrôle connus dans le domaine de la sécurité, bien qu’il semble qu’un de ces canaux ait été également “sinkholé”. Comme le montre l’image ci-dessous, les machines qui signalent le gouffre ont une large répartition géographique :
Les chercheurs ont écrit : « Ces données révèlent qu’une quinzaine de nations comptent pour plus de 80 % de toutes les infections. De plus, il est intéressant de noter que les pays les plus touchés ne partagent pas beaucoup de similarités, une tendance observée avec des vers USB précédents comme RETADUP, où les taux d’infection les plus élevés étaient concentrés dans des pays de langue espagnole. Ceci suggère que ce ver pourrait avoir émergé à partir de plusieurs points de départ dans différents pays. »
L’une des explications est que la plupart des concentrations les plus importantes se trouvent dans des pays côtiers où le gouvernement chinois a réalisé des investissements considérables dans les infrastructures. En outre, bon nombre des pays les plus touchés ont une importance stratégique pour les objectifs militaires chinois. Les chercheurs supposent que le but de la campagne était de recueillir des renseignements que le gouvernement chinois pourrait utiliser pour atteindre ces objectifs.
Les chercheurs ont noté que le ver zombie restait susceptible d’être repris par tout acteur de menace qui prendrait le contrôle de l’adresse IP ou parviendrait à s’insérer dans la voie de communication entre le serveur à cette adresse et un appareil infecté. Cette menace pose des dilemmes intéressants aux gouvernements des pays touchés. Ils peuvent choisir de maintenir le statu quo en ne prenant aucune mesure ou d’activer une commande d’autodestruction intégrée au ver qui désinfecterait les machines infectées. En outre, s’ils choisissent cette dernière option, ils peuvent décider de ne désinfecter que la machine infectée ou d’ajouter une nouvelle fonctionnalité pour désinfecter toutes les clés USB infectées qui seraient connectées.
En mars 2023, Sophos a publié un article intitulé “A border-hopping PlugX USB worm takes its act on the road” mettant en lumière une variante de PlugX avec des capacités de ver. Cette variante, créée en 2020, visait à se propager via des clés USB compromises, à contourner les trous d’air, à infecter des réseaux non orientés vers l’internet et à y voler des documents. Selon l’article de blog de Sophos, tous ces échantillons PlugX communiquent avec une seule adresse IP, 45.142.166[.]112 hébergée par GreenCloud.
« En septembre 2023, nous avons réussi à prendre possession de cette adresse IP afin de faire tomber ce botnet. Nous pensions initialement que nous aurions quelques milliers de victimes connectées à ce botnet, comme c’est le cas pour nos sinkholes habituels. Cependant, en installant un simple serveur web, nous avons constaté un flux continu de requêtes HTTP variant selon l’heure de la journée », Sekoia.
L’organisation ajoute, « Face à cette situation, nous avons opté pour l’enregistrement des requêtes reçues dans une base de données afin de tracer l’étendue des infections. Chaque jour depuis septembre 2023, entre 90 000 et 100 000 adresses IP uniques envoient des requêtes PlugX distinctes à notre serveur sinkhole. Bien que le botnet puisse être considéré comme “inerte” car ses opérateurs ne l’ont plus sous contrôle, toute personne ayant la capacité d’intercepter ou de prendre possession de ce serveur peut émettre des commandes arbitraires à l’hôte infecté, le réaffectant ainsi à des activités malveillantes. »
PlugX, une ancienne cyberarme dans l’arsenal chinois
La première version connue de PlugX a été observée pour la première fois lors d’une campagne chinoise ciblant des utilisateurs liés au gouvernement et une organisation spécifique au Japon, qui a débuté en 2008 selon Trend Micro. Elle a été principalement déployée contre des victimes situées en Asie jusqu’en 2012, puis a progressivement élargi son groupe de cibles à des entités occidentales. La plupart du temps, PlugX est chargé à l’aide d’un schéma de chargement latéral de DLL dans lequel un exécutable légitime charge une DLL malveillante – ou corrigée – qui va ensuite mapper et exécuter en mémoire le composant principal de PlugX, qui réside dans un blob binaire chiffré sur le système de fichiers [T1574.002].
L’interface de gestion de PlugX permet à l’opérateur de gérer plusieurs hôtes infectés avec des fonctionnalités couramment observées dans de telles portes dérobées, telles que l’exécution de commandes à distance, le téléchargement de fichiers, l’exploration du système de fichiers, l’acquisition de données dans le contexte de l’exécution, etc. Cette porte dérobée, initialement développée par Zhao Jibin (alias WHG), a évolué au fil du temps en différentes variantes. Le constructeur de PlugX a été partagé par plusieurs groupes d’intrusion, la plupart d’entre eux étant attribués à des sociétés écrans liées au ministère chinois de la sécurité de l’État.
L’ajout d’un élément de propagation à PlugX : Quand les choses tournent mal
En juillet 2020, selon plusieurs chercheurs, les opérateurs à l’origine de l’intrusion Mustang Panda ont eu la (mauvaise) idée d’ajouter un élément de propagation à PlugX, peut-être pour cibler plusieurs pays au cours d’une même campagne ou pour étendre ses capacités en atteignant des réseaux non connectés afin de voler des fichiers sur des postes de travail non connectés, mais infectés.
Ce composant vermoulu infecte les clés USB connectées en y ajoutant un fichier de raccourci Windows portant le nom de la clé USB infectée et une triade de chargement latéral de DLL (exécutable légitime, DLL malveillante et blob binaire) dans le dossier caché du lecteur RECYCLER.BIN. Le contenu légitime des périphériques USB est déplacé dans un nouveau répertoire dont le nom est le caractère espace insécable (code ascii hexadécimal : 0xA0).
En ce qui concerne le ver USB Raspberry Robin, lorsqu’un utilisateur ouvre le périphérique USB, seul un raccourci portant le nom du périphérique USB lui est présenté, l’incitant à cliquer dessus. En cliquant sur le raccourci, la chaîne d’infection PlugX est exécutée. PlugX commence par fermer la fenêtre actuelle et en rouvrir une nouvelle dans le répertoire (nommé 0xA0 comme indiqué précédemment) contenant les fichiers légitimes.
Ensuite, il se copie sur l’hôte dans %userprofile%/AvastSvcpCP/, et active sa persistance en créant une nouvelle clé sous HKCU[…]\NCurrentVersion\NRun registry Key. Enfin, il s’exécute à nouveau à partir de l’hôte avant de se terminer. Une fois exécuté à partir de l’hôte, le composant ver de cette variante de PlugX vérifie toutes les 30 secondes la connexion d’un nouveau lecteur flash pour l’infecter automatiquement.
La persistance du ver USB PlugX, malgré l’abandon de ses créateurs, soulève des questions cruciales sur la gestion de la sécurité informatique à l’ère numérique. Tout d’abord, cela met en lumière les défis auxquels sont confrontées les autorités et les chercheurs en matière de lutte contre les menaces persistantes, même après que leurs origines aient cessé de les contrôler. Cette situation met en évidence la nécessité d’une collaboration internationale renforcée pour contrer de telles menaces, car elles ne respectent pas les frontières nationales.
De plus, le dilemme de savoir s’il faut supprimer ou laisser actif le ver soulève des préoccupations éthiques et pratiques. D’une part, laisser le ver actif expose les utilisateurs à des risques potentiels de sécurité, avec la possibilité que leurs données personnelles soient compromises ou que leurs appareils soient utilisés à des fins malveillantes. D’autre part, la désinfection des appareils infectés peut entraîner la perte de données légitimes et poser des problèmes juridiques, en particulier lorsqu’elle est réalisée à grande échelle et sans le consentement des propriétaires des appareils.
La décision de laisser les autorités compétentes décider de la désinfection est sage, car cela permet de prendre en compte les implications juridiques et les considérations éthiques tout en s’assurant que les mesures appropriées sont prises pour protéger les utilisateurs contre les menaces persistantes. Cependant, cela soulève également des questions sur la coordination et la réactivité des autorités compétentes, ainsi que sur leur capacité à coopérer efficacement avec les chercheurs en sécurité informatique.
En fin de compte, cette situation met en lumière la nécessité d’une approche proactive et collaborative de la sécurité informatique, qui intègre à la fois la technologie, la réglementation et la coopération internationale pour faire face aux menaces émergentes et persistantes dans le paysage numérique en constante évolution.
source : developpez