Nous aimons tous VLC , le lecteur multimédia multiplateforme open source , mais cette fois, il semble que sa popularité ait été exploitée à des fins malveillantes. Des chercheurs en cybersécurité de Symantec , une division de Broadcom , ont en effet découvert qu'un groupe de piratage connu sous le nom de Cicada (entre autres), directement associé au gouvernement chinois , utilise depuis des années VLC comme moyen de campagne d'espionnage . Les objectifs: diverses entités impliquées dans des activités gouvernementales (télécommunications, juridiques et pharmaceutiques) et religieuses , ainsi que des organisations non gouvernementales ( ONG ), en Italie , aux États-Unis, au Canada, à Hong Kong, en Turquie, en Israël, en Inde, au Monténégro et Japon.
Le port d'accès peut être un serveur Microsoft Exchange . Les pirates auraient exploité une vulnérabilité connue sur des appareils non corrigés, ce qui leur aurait permis de distribuer des logiciels malveillants à l'aide de VLC dans sa version d'origine. Grâce à l'utilisation d'une bibliothèque dll conçue pour être chargée par VLC, le groupe a pu obtenir le contrôle de l'appareil distant via le serveur WinVNC , voire une porte dérobée (appelée Sodamaster) pour échapper à la détection. Cela a permis aux attaquants de collecter des données sur le système , de contrôler les processus en cours d'exécution et de télécharger et d'exécuter diverses charges utiles à partir du serveur de commande et de contrôle. Le tout pour espionner et voler des brevets à délivrer, au moins dans certains cas, au gouvernement chinois. Comme mentionné, la menace est peut-être toujours active et deux personnes ont été arrêtées aux États-Unis .
Force est donc de constater que la sévérité de la faille (offre rappelons-le de la version légitime de VLC) est considérable, mais en même temps elle pourrait difficilement toucher les ordinateurs des utilisateurs ordinaires, compte tenu de la nécessité d'exploiter (semble-t-il) un Défaut d'échange. Symantec a publié des indicateurs de compromission , des chaînes de code qui peuvent être présentes dans les fichiers système et de registre.
Le port d'accès peut être un serveur Microsoft Exchange . Les pirates auraient exploité une vulnérabilité connue sur des appareils non corrigés, ce qui leur aurait permis de distribuer des logiciels malveillants à l'aide de VLC dans sa version d'origine. Grâce à l'utilisation d'une bibliothèque dll conçue pour être chargée par VLC, le groupe a pu obtenir le contrôle de l'appareil distant via le serveur WinVNC , voire une porte dérobée (appelée Sodamaster) pour échapper à la détection. Cela a permis aux attaquants de collecter des données sur le système , de contrôler les processus en cours d'exécution et de télécharger et d'exécuter diverses charges utiles à partir du serveur de commande et de contrôle. Le tout pour espionner et voler des brevets à délivrer, au moins dans certains cas, au gouvernement chinois. Comme mentionné, la menace est peut-être toujours active et deux personnes ont été arrêtées aux États-Unis .
Force est donc de constater que la sévérité de la faille (offre rappelons-le de la version légitime de VLC) est considérable, mais en même temps elle pourrait difficilement toucher les ordinateurs des utilisateurs ordinaires, compte tenu de la nécessité d'exploiter (semble-t-il) un Défaut d'échange. Symantec a publié des indicateurs de compromission , des chaînes de code qui peuvent être présentes dans les fichiers système et de registre.
Liens
Lien (262 Clics)
Plus d'actualités dans cette catégorie