L’émergence de cybermenaces de plus en plus sophistiquées remet en question la sécurité des systèmes informatiques. Dans ce contexte, la récente attaque attribuée au groupe de hackers chinois StormBamboo illustre les nouvelles techniques d’infiltration, notamment l’empoisonnement DNS. Une analyse approfondie de ces incidents permet d’en tirer des leçons cruciales pour la cybersécurité moderne.
En bref: L’année dernière, Volexity a détecté et traité un incident impliquant des systèmes infectés par un logiciel malveillant lié au groupe de hackers chinois StormBamboo. Au départ, les soupçons portaient sur un pare-feu compromis, mais une enquête plus approfondie a révélé que l’empoisonnement DNS s’était produit au niveau du FAI. Cette attaque, comme de nombreuses cybermenaces modernes, était très sophistiquée et souligne l’importance de sécuriser les processus de mise à jour des logiciels.
Dans une nouvelle révélation, les chercheurs en sécurité de Volexity signalent une cyberattaque sophistiquée orchestrée par le groupe de hackers chinois StormBamboo. L’attaque, détectée à la mi-2023, impliquait la compromission d’un fournisseur d’accès Internet pour lancer des attaques d’empoisonnement DNS à grande échelle contre plusieurs organisations. En exploitant les vulnérabilités des processus de mise à jour automatique des logiciels, StormBamboo a réussi à installer des logiciels malveillants sur les systèmes macOS et Windows, démontrant un niveau de polyvalence et de portée inquiétant.
StormBamboo a pu modifier les réponses aux requêtes DNS de domaines spécifiques liés aux mises à jour logicielles automatiques en ciblant les applications qui utilisent des mécanismes de mise à jour non sécurisés, tels que HTTP, et ne parviennent pas à valider correctement les signatures numériques. En exploitant ces vulnérabilités, StormBamboo a pu rediriger les demandes de mise à jour vers ses propres serveurs, où il a installé des logiciels malveillants au lieu de mises à jour légitimes.
Lorsque le FAI a enquêté sur le problème, il a mis hors ligne divers composants du réseau et l’empoisonnement DNS s’est immédiatement arrêté, révélant la dépendance de l’attaque à l’égard de l’infrastructure compromise.
Le plus frappant est peut-être la capacité de l’attaque à intercepter et modifier les requêtes DNS, même lorsque les utilisateurs s’appuient sur des services DNS publics comme 8.8.8.8 de Google ou 1.1.1.1 de Cloudflare. Cette capacité à contourner des services DNS largement reconnus souligne la sophistication remarquable de l’opération de StormBamboo.
« C’est la partie amusante et effrayante de l’affaire : il ne s’agissait pas d’un piratage des serveurs DNS du FAI », a déclaré Steven Adair, PDG de Volexity, à Ars Technica. « Il s’agissait d’une compromission de l’infrastructure réseau pour le trafic Internet. »
StormBamboo a déployé plusieurs familles de malwares, dont de nouvelles déclinaisons de MACMA pour macOS et POCOSTICK (également connu sous le nom de MGBot) pour Windows. La dernière version de MACMA présente des similitudes de code importantes avec la famille de malwares GIMMICK, ce qui suggère que les deux pourraient avoir convergé.
Dans un cas, suite à la compromission d’un appareil macOS, StormBamboo a déployé une extension Google Chrome malveillante appelée RELOADEXT. Cette extension, déguisée en outil de chargement de pages en mode de compatibilité Internet Explorer, a en réalité exfiltré des cookies de navigateur vers un compte Google Drive contrôlé par l’attaquant.
Pour se protéger contre des attaques similaires, les organisations doivent mettre en œuvre HTTPS pour tous les processus de mise à jour de logiciels, auditer et mettre à jour régulièrement l’infrastructure réseau, utiliser une vérification robuste de la signature numérique pour les mises à jour, surveiller les activités DNS inhabituelles et utiliser des outils de surveillance de la sécurité réseau capables de détecter les tentatives d’empoisonnement DNS.
Bien que Volexity n’ait pas indiqué si cette forme spécifique d’attaque se produisait aujourd’hui, les attaques DNS en général continuent d’être une préoccupation majeure pour les organisations du monde entier. Au cours du seul premier trimestre 2024, 1,5 million d’attaques DDoS DNS ont été signalées. Plusieurs formes d’attaques DNS sont actuellement actives, notamment l’usurpation DNS, l’empoisonnement du cache, les attaques DDoS sur les serveurs DNS, le détournement DNS et la distribution de logiciels malveillants basés sur DNS. Parallèlement, de nouveaux types d’attaques DNS émergent également.
Les attaques par amplification DNS en sont un exemple. Il s’agit d’un type d’attaque DDoS qui exploite les vulnérabilités des serveurs DNS pour submerger un système cible avec un flot de trafic. Ces attaques ont connu une augmentation de 117 % par rapport à l’année précédente au quatrième trimestre 2023.