Les spécialistes de Kaspersky Lab ont découvert une porte dérobée au sein des produits de NetSarang. Cette société sud-coréenne propose des solutions de gestion des serveurs. Les produits concernés sont, selon le bulletin du CERT français : Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218, Xlpd 5.0 Build 1220.
Ces solutions sont largement utilisées dans plusieurs sociétés à travers le monde et dans des domaines divers : banques, finances, enseignement, télécommunications, industrie, énergie et transport.
Cette porte dérobée a été nommée par l’équipe de Kaspersky Lab, ShadowPad. A la suite d’une enquête sur un serveur DNS qui réclamait des données financières, les experts ont trouvé l’origine de ces requêtes, la solution de NetSarang. Plus exactement, le fautif était un module malveillant caché dans le fichier nssock2.dll. Plus grave, ce module disposait d’un certificat légitime de NetSarang, preuve que l’infrastructure de l’éditeur a été compromise.
Le module est relativement complexe, explique Kaspersky Lab dans un blog. Il est caché au sein de la bibliothèque à travers plusieurs couches de chiffrement. Dans un premier temps, le contact avec le serveur de commandes et contrôle reste basique avec l’envoi d’informations toutes les 8 heures, comme le nom du PC, le domaine, le nom des utilisateurs. Mais le serveur C&C peut aussi à tout moment émettre, via une requête DNS TXT sur un domaine spécifique, une charge utile pour accéder à l’ensemble du système. A noter que la backdoor est modulaire en restant présente dans le registre grâce à un système de fichier virtuel (VFS). Ce système comprenait notamment un algorithme de génération de domaine. Les attaquants avaient déjà enregistrés des domaines pour une période courant de juillet à décembre 2017.
Pour les chercheurs, ce type d’attaques s’apparente au modus operandi de groupes de cyber-espionnage sinophiles, comme PlugX et Winnti. Une fois débusquée, Kaspersky Lab a immédiatement contacté NetSarang dont les équipes ont été très réactives pour mettre à jour les solutions concernées et bloquer la backdoor.
A lire aussi :
Quand un DSI laisse des backdoors pour pirater son ancien employeur
Backdoors dans le chiffrement : la France et l’Allemagne insistent
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…