Opération Aurora
Posted by Gutek in Réseaux, Sécurité, tags: Aurora, navigateur, vulnérabilité
Si vous lisez ce modeste blog, vous vous tenez certainement informé des nouvelles qui touchent le Réseau. Comme tout le monde, vous avez certainement entendu parler ce cette polémique entre Google et la Chine depuis que le premier a menacé de ne plus complaire à la censure locale.
Coté technique, les développements de cette histoire ont surtout tourné autour du mystérieux “Great Firewall” que les autorités chinoises auraient mis en oeuvre depuis quelques semaines, bloquant ainsi toutes requètes de navigateurs pendant 30 minutes de façon systématique dès lors qu’une seule requète sur n’importe quel moteur de recherche chinois demandait la page Google Blogspot d’annonces officielles du géant de la recherche.
Google a aussi révélé avoir été victime d’une attaque massive ainsi que certaines entreprises en particulier nord-américaines dans le but de dérober un certain nombre d’informations concernant non seulement des personnalités dites “dissidentes” mais aussi plus prozaiquement des données industrielles. L’allégation selon laquelle le gouvernement chinois serait le commenditaire semble suffisament crédible pour alarmer le gouvernement US qui a son tour demande des explications à la Chine. Comme quoi, le communisme capitaliste, ca s’invente pas !
On en sais à présent plus sur cette attaque.
Le vecteur serait au départ une suite de documents PDF qui, exploitant une vulnérabilité du Reader d’Adobe non patchée depuis novembre dernier, installerait sa charge à l’insu de l’utilisateur. Il s’agirait d’une backdoor qui, exploitant à son tour une vulnérabilité pas encore publiée (0-day) sur Internet Explorer 7 et 6, serait active sur l’ensemble des systèmes d’exploitation de la famille Windows y compris ceux de la dernière série Seven.
D’autres techniques sont certainement mises en oeuvre, étant donné que la source d’expedition de ces documents PDF semblait particulièrement bien imitée (spoofed) en tout cas suffisament pour que les destinataires, des personnes ciblées (pas d’envois de masse au hasard), s’y laissent prendre.
C’est l’éditeur de solutions de sécurité McAfee qui a mené cette analyse, c’est donc lui qui a baptisé cette “opération” en choisissant le nom de Aurora au vu des traces qu’ils ont pu trouver lors de leur reversing.
En effet, “Aurora” serait une partie d’un chemin d’accès trouvé au sein du code source du malware. Ce chemin aurait été laissé là par le compilateur de la backdoor, chemin qui sert à indiquer l’emplacement de symboles de debugging et du code source sur la machine de developpement.
De là ils en ont conclu qu’il devait s’agir du nom donné à cette opération…
D’après McAfee il ne s’agirait là que de la partie émergée de l’iceberg. D’autres surprises sont à prévoir dans cette histoire dont on peut suivre les rebondissements sur le Twitter de George Kurtz, l’auteur de la publication officielle chez McAfee.
Selon Carlos Carrillo, chercheur chez Mandiant Security (firme mandatée par Google pour investiguer sur cette attaque), l’analyse des techniques de coding du malware pointent du doigt le gouvernement chinois sans hésitations. Les marqueurs temporels au sein de la journalisation du malware indiqueraient que l’attaque s’est déroulée entre mi-décembre jusqu’au 4 janvier. Entre 20 et 34 entreprises auraient été touchées mais il pourrait y en avoir bien plus étant donné que plusieurs 0-days sont exploitées. On peut donc craindre que nombre de dispositifs de sécurité n’aient pas encore identifié l’attaque, laissant supposer que nombre de cibles n’ont pas encore conscience de faire partie des victimes.
Cerise sur le gateau qui vaut le coup d’être mentionnée, coté Français les cyber-flics du CERTA conseillent de ne pas faire confiance à Internet Explorer et d’utiliser des navigateurs alternatifs !
Voilà une année 2010 qui commence de façon tout à fait intéressante !
Entries (RSS)
il y a du nouveau , google soupconne que l’operation s’est derouler avec l’aide de quelqu’un en interne :/