Un implant de routeur redirige le trafic DNS vers une infrastructure contrôlée par les attaquants, transformant ainsi les canaux de mise à jour fiables en voies de livraison pour la porte dérobée d’espionnage.
PlushDaemon, un groupe APT lié à la Chine, a déployé un implant réseau jusqu’alors non documenté baptisé EdgeStepper pour détourner le trafic DNS sur les périphériques réseau compromis.
Selon les conclusions divulguées par les chercheurs d’ESET, le trafic détourné est ensuite redirigé vers une infrastructure contrôlée par les attaquants, permettant ainsi la diffusion de charges utiles malveillantes.
« Tout d’abord, PlushDaemon compromet un périphérique réseau (par exemple, un routeur) auquel sa cible pourrait se connecter ; la compromission est probablement obtenue en exploitant une vulnérabilité du logiciel exécuté sur l’appareil ou via des informations d’identification administratives par défaut faibles et/ou bien connues, permettant aux attaquants de déployer EdgeStepper », ont déclaré les chercheurs d’ESET dans un article de blog, ajoutant que l’implant redirige ensuite le trafic depuis l’infrastructure légitime utilisée pour les mises à jour logicielles.
L’objectif ultime de ce nouvel outil est d’utiliser des mécanismes de mise à jour fiables pour installer la porte dérobée emblématique du groupe, SlowStepper, sur les machines Windows, transformant ainsi les mises à jour logicielles d’apparence légitime en points de dépôt d’espionnage.
Selon la télémétrie d’ESET, PlushDaemon opère depuis au moins 2018, ciblant des organisations aux États-Unis, à Taiwan, à Hong Kong et en Nouvelle-Zélande.
EdgeStepper détourne l’équipement réseau pour activer AitM
La première action de PlushDaemon n’est pas d’empoisonner l’ordinateur portable d’une cible, mais de compromettre l’infrastructure qui l’entoure. ESET a découvert que l’implant EdgeStepper (appelé en interne « dns-cheat-v2 ») est compilé pour MIPS32 et intégré à Go à l’aide du framework GoFrame, pour cibler les périphériques réseau tels que les routeurs.
Une fois installé, EdgeStepper configure les règles « iptables » sur l’appareil pour rediriger tout le trafic UDP sur le port 53 (DNS) vers un proxy local (port 1090 par défaut), qui transmet les requêtes vers un nœud DNS malveillant.
L’attaque Adversary-in-the-Middle (AitM) procède à la détection par le proxy d’une requête DNS pour un domaine associé à des mises à jour logicielles. Lorsque de telles requêtes surviennent, il répond avec l’adresse IP du serveur contrôlé par l’attaquant au lieu de celle légitime. Cela signifie qu’une demande de mise à jour ultérieure destinée au fournisseur légitime est acheminée vers l’infrastructure de l’attaquant sans que l’utilisateur s’en rende compte.
Cette technique déplace efficacement la menace des points finaux vers la couche réseau, compromettant ainsi l’infrastructure à travers laquelle circulent les mises à jour fiables. Les chercheurs avertissent les organisations de surveiller les modèles de redirection DNS inhabituels et de valider la résolution du serveur de mise à jour.
Mise à jour détournée du déploiement de porte dérobée
Le périphérique réseau servant de redirection furtive, PlushDaemon exploite ensuite le canal de mise à jour piraté pour accéder aux systèmes finaux. ESET a observé comment un logiciel victime typique (tel qu’une application de méthode de saisie chinoise) envoie un HTTP GET à son serveur de mise à jour, mais comme le DNS a été piraté, la requête atterrit sur l’infrastructure contrôlée par l’attaquant.
La chaîne de charge utile commence généralement par LittleDaemon, un téléchargeur se faisant passer pour une DLL, qui vérifie la présence de la charge utile finale. S’il est absent, il récupère un autre composant, DaemonicLogistics. Cet outil interprète ensuite les codes d’état HTTP du serveur piraté comme des commandes permettant de télécharger et d’installer la porte dérobée de signature SlowStepper sur les machines cibles.
SlowStepper est une porte dérobée d’espionnage riche en fonctionnalités avec des modules pour la collecte de données du navigateur, la capture audio/vidéo, le vol de documents et la récolte d’informations d’identification. La décision de PlushDaemon de militariser la plomberie du réseau reflète l’abandon des attaques brutales sur les points finaux par des techniques plus silencieuses et d’abus de confiance. Plus tôt cette année, une campagne liée à la Chine a implanté des portes dérobées sur les routeurs Juniper, démontrant la volonté des attaquants de vivre sur le kit réseau lui-même plutôt que uniquement sur les PC.
