Tor: Des fichiers Torrent et des programmes Windows compromis par OnionDuke

Un malware baptisé OnionDuke a été inséré automatiquement dans le trafic sortant d’un faux serveur Tor, et cela depuis au moins octobre 2013.

Tor, c’est bien pour rester anonyme, mais pas forcément pour protéger son trafic de données. Des chercheurs en sécurité de F-Secure viennent de montrer que des pirates ont profité de ce réseau pour infecter des exécutables Windows depuis octobre 2013, et des fichiers Torrent depuis février 2014, en y ajoutant un malware baptisé OnionDuke.

Comment ont-ils fait ?

Ces petits malins ont eu l’idée de mettre en place leur propre « Tor Exit Node » pour intercepter le trafic sortant de Tor. En effet, le principe de Tor est d’intercaler entre l’utilisateur et le service auquel il veut accéder toute une série de serveurs de relais, histoire de brouiller les pistes pour les éventuels « Big Brother » qui surveillent le Net. Le dernier serveur qui achemine la communication est appelé un « Exit Node ». C’est lui qui se connectera au service souhaité.
Le problème, c’est que n’importe qui peut mettre en place un « Exit Node ». C’est même souhaité par la communauté Tor. Car plus il y a de nœuds sortants, plus le réseau Tor aura de bande passante et donc meilleure sera la performance du service d’anonymisation.

Si le trafic n’est pas chiffré de bout en bout par SSL ou par un VPN, le nœud sortant qu’il empruntera verra les données en clair. C’est ainsi que les pirates ont pu, tranquillement, analyser le trafic et insérer leur malware quand ils voyaient un exécutable ou un fichier Torrent.

Des agences gouvernementales européennes en ligne de mire

L’utilisateur, lui, n’y voit que du feu. Quand il installe le fichier téléchargé, tout se passe comme prévu : le logiciel demandé est bien installé. Mais en douce, OnionDuke crée une porte dérobée sur le système, puis contacte une série de serveurs de commande et contrôle (C&C) pour prendre ses ordres. L’analyse du malware a révélé, par ailleurs, que les pirates d’OnionDuke étaient liés à ceux de MiniDuke, car ils utilisent en partie les mêmes serveurs C&C. Découvert par Kaspersky, MiniDuke est un programme malveillant très sophistiqué qui a été utilisé pour espionner des organisations gouvernementales européennes.
Ce but stratégique se retrouve d’ailleurs aussi chez OnionDuke. Selon F-Secure, ce malware a été utilisé non seulement pour infecter en masse des fichiers sur le réseau Tor, mais aussi dans le cadre d’attaques ciblées sur des agences gouvernementales européennes. Petit détail intéressant : le nœud sortant de Tor était hébergé en Russie.
S’il fallait retenir quelque chose de cette histoire, c’est qu’il vaut mieux doubler sa navigation Tor avec un chiffrement de bout en bout. Ainsi, le nœud sortant ne pourra pas analyser le trafic qui passe, et insérer son code empoisonné.

Source : 01net

(ci-dessous)Source: F-secure

Dans tous les cas que F-secure a observés, cet exécutable malveillant a le même binaire (SHA1: a75995f94854dea8799650a2f4a97980b71199d2, détecté comme Trojan-Dropper: W32 / OnionDuke.A). Cet exécutable est un compte-gouttes contenant une ressource PE qui prétend être un fichier d'image GIF intégré. En réalité, la ressource est en fait une bibliothèque (DLL) de fichier crypté liée dynamiquement . Le compte-gouttes procédera au décryptage cette DLL, l'écrire sur le disque et l'exécuter.

Organigramme du processus d'infection

Une fois exécuté, le fichier DLL (SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57f, détecté comme Backdoor: W32 / OnionDuke.B) va décrypter une configuration intégré (ci-dessous) et tenter de se connecter à des URL codées en dur C & C spécifiées dans les données de configuration. Des C & C le malware peut recevoir des instructions pour télécharger et exécuter des composants malveillants supplémentaires. Il est à noter, que F-secure pense que les cinq domaines contaminés par le malware sont des sites innocents compromis par les opérateurs de programmes malveillants, du fait il ne sont pas des serveurs dédiés malveillants.

Une capture d'écran des données de configuration intégré

Grâce aux recherches, F-secure a également été en mesure d'identifier plusieurs autres composantes de la famille de logiciels malveillants OnionDuke. Nous avons, par exemple, observé des composants dédiés pour voler les identifiants de connexion de l'ordinateur de la victime et des composants dédiés pour la collecte de plus amples informations sur le système compromis comme la présence d'un logiciel antivirus ou d'un pare-feu. Certains de ces composants ont été observés en cours de téléchargement et exécuté par le processus via le backdoor originale, mais pour d'autres composants, nous avons encore à identifier le vecteur d'infection. La plupart de ces composants ne crée pas d'eux-mêmes des informations C & C mais plutôt communique avec leurs contrôleurs à travers le processus de backdoor originale.

Un composant, cependant, est une exception intéressante. Le fichier DLL (SHA1 d433f281cf56015941a1c2cb87066ca62ea1db37, détecté comme Backdoor: W32 / OnionDuke.A) contient parmi les données de configuration d'un C & C un domaine codé en dur différent, overpict.com, ce qui suggère que ce composant peut abuser de Twitter comme un canal supplémentaire de C & C. Ce qui rend le domaine de overpict.com intéressant, est-il a été enregistré en 2011 avec le pseudonyme de "John Kasaï". En deux semaines, "John Kasaï" a également enregistré les domaines suivants: airtravelabroad.com, beijingnewsblog.net, grouptumbler.com, leveldelta.com, nasdaqblog.net, natureinhome.com, nestedmail.com, nostressjob.com, nytunion .com, oilnewsblog.com, sixsquare.net et ustradecomp.com. Ceci est important parce que les domaines leveldelta.com et grouptumbler.com ont déjà été identifiés comme des domaines C & C utilisés par MiniDuke. Cela suggère fortement que bien que OnionDuke et MiniDuke sont deux familles distinctes de logiciels malveillants, les acteurs qui sont derrières eux sont connectés par le biais d'une infrastructure partagée.

Une visualisation de l'infrastructure partagée entre OnionDuke et MiniDuke