Piratage de CCleaner : l’opération pourrait avoir été menée par des cyberespions chinois

Tech
Par Gael Brulin,  publié le 23 septembre 2017 à 16h25, modifié le 23 septembre 2017 à 17h32.

Après que plusieurs centaines de milliers d'utilisateurs de CCleaner auraient téléchargée une version vérolée du logiciel, il apparaît que ce piratage d'ampleur internationale pourrait avoir été conduit par des cyberespions chinois.

Dans la sphère internet, quoi de plus inoffensif qu’un utilitaire gratuit massivement utilisé pour se débarrasser d’entrées de registre inutiles ou dangereuses ? A priori bien peu de choses. Et c’est possiblement pour son caractère anodin que CCleaner a récemment été utilisé par des pirates pour propager nombre de malwares.

Selon Numerama, environ 730.000 utilisateurs de ce logiciel seraient concernés par une infection de leur machine, celle sur laquelle a été téléchargée et installée une version qu’ils pensaient irréprochable de CCleaner. Parce qu’accessible sur des plates-formes pas forcément douteuses.

Les pirates auraient infecté CCleaner avant compilation du logiciel

Costin Raiu du Kaspersky Lab affirme ainsi que les pirates ont injecté leur code malveillant avant que l’éditeur de CCleaner Piriform ne compile le logiciel. En d’autres termes, il était pratiquement impossible pour les utilisateurs lambdas de prévenir tout souci relatif à l’installation du freemium.

Le spyware a été inscrit au niveau de la chaîne de mise à jour de CCleaner, permettant son déploiement à l’occasion d’une update. Le logiciel modifié comporte de même une porte dérobée offrant aux pirates d’installer des malwares à leur bon vouloir, ainsi qu’un registre transformé pour rendre ces programmes indétectables.

Des auteurs s’en étant possiblement déjà pris au gouvernement américain

Toujours d’après Costin Raiu, le code des pirates semble porter la signature d’APT17 (ou DeputyDog), un groupe de cyberespions chinois notamment connus pour être déjà parvenus à s’infiltrer sur les systèmes du gouvernement des États-Unis et d’entreprises technologiques. On se souvient principalement d’APT17 pour avoir été à l’origine de l’Opération Aurora, une cyberattaque de type persistante ayant ciblé quelque trente sociétés, pour la plupart américaines. Parmi elles, Google, Yahoo Juniper, Adobe ou encore Microsoft.

Jay Rosenberg d’Intezer et Christopher Glyer de FireEye partagent la piste de leur collègue du Kapersky Lab selon laquelle APT17 aurait initié le piratage massif de CCleaner. Nos confrères de 01net.com invitent les utilisateurs suspicieux de CCleaner de charger une sauvegarde antérieure au 15 août dernier si jamais leur machine ou leur registre comporte au moins l’un des fichier/inscriptions suivants :

  • HKLMSoftwareMicrosoftWindowsNTCurrentVersionWbemPerf01
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf02
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf03
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerf04
  • HKLMSoftwareMicrosoftWindows NTCurrentVersionWbemPerfHBP

 

  • GeeSetup_x86.dll
  • EFACli64.dll (le cheval de Troie en version 64 bit)
  • TSMSISrv.dll (le cheval de Troie en version 32 bit)
  • DLL dans le Registre :
    f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  • Deuxième charge :
    dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83