Analyse du virus qui aurait attaqué TV5 Monde

Jeudi 9 avril, la chaîne de télévision française TV5 Monde a été piratée par des partisans de l’État islamique. Peu de renseignements ont été donnés sur la façon dont l’attaque s’est déroulée. La seule information semi-technique qui était disponible au moment de la rédaction de ce post venait du site web Breaking3Zero.

L’éditeur BlueCoat a envoyé à Data Security Breach son analyse de ce qui semble être le code malveillant en question. Personne, autres que TV5 Monde et l’ANSSI ne disposent d’informations internes, mais nous sommes parvenus à trouver un malware, qui n’est pas totalement identique, mais qui correspond à plusieurs indicateurs révélés par Breaking3Zero. Par exemple, des références aux alias JoHn.Dz et Najaf. Un échantillon de ce hash md5 est  2962c44ce678d6ca1246f5ead67d115a.

Jenxcus and Bladabindi

Cet échantillon semble être un équivalent du virus (Visual Basic Script) worm KJ_W0rm, un dérivé de NJ_W0rm, ancien et particulièrement répandu.Ce malware est connu des antivirus sous le nom de VBS/Jenxcus. Puisqu’il dépend d’un script, le malware est très facile à modifier, ce qui a engendré un très grand nombre de modifications. Jenxcus apparait souvent en compagnie d’un autre malware appelé Bladabindi ou NJ_Rat. Contrairement à Jenxcus, Bladabindi n’est pas un script, mais un exécutable Windows, écrit en .NET. Il possède d’autres caractéristiques et peut, par exemple, prendre des captures d’écran, dérober des identifiants en ligne, mais aussi télécharger et installer d’autres codes malicieux.

Bladabindi peut être créé et configuré en utilisant un outil de création disponible publiquement, rendant ainsi très simple la production de nouvelles versions. Cet outil s’est donc beaucoup répandu, car il est facile à utiliser clandestinement. Bladabindi fait donc aujourd’hui parti des familles de malwares les plus courantes, surtout dans le Moyen-Orient. Aussi, il est devenu tellement fréquent que Microsoft a décidé de prendre des mesures offensives contre lui. Cela a donné lieu à une destruction quelque peu controversée du botnet en juin 2014. Les documents juridiques déposés ont alors identifié les auteurs du clandestin Bladabindi et du worm Jenxcus comme étant Naser Al Mutairi (Koweit), and Mohamed Benabdellah (Algérie). Mutairi aurait utilisé le virus en ligne njq8, et se trouve être probablement la personne mentionnée dans la section Crédits de l’échantillon malware « Najaf ».

Le variant Najaf – md5 2962c44ce678d6ca1246f5ead67d115a

Si l’on compare l’échantillon « Najaf » avec un échantillon type KJ_W0rm, on peut voir qu’il y a des véritables similitudes. Les différences sont surtout dans la façon dont les paramètres hardcodés sont placés dans le code.

Ci-dessus: Najaf vs KJ_W0rm

Fonctionnalité

Le script est plutôt court et simple, et diffère seulement légèrement de KJ_W0rm. Il s’autocopie dans un fichier (ex : C:Users%USERNAME%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup on Win7. Des clés de lancement sont créées sur le registre afin de dérouler le script :

HKCUsoftwaremicrosoftwindowscurrentversionrun securitynajaf = wscript.exe /B « SecurityNajaf.vbs »HKLMsoftwaremicrosoftwindowscurrentversionrun securitynajaf = wscript.exe /B « SecurityNajaf.vbs »

Une fois que cette installation initiale est faite, il s’autocopie sur le dossier racine de tous les supports amovibles connectés. Un dossier raccourci (*.LNK) va aussi se créer. Le script va tenter de restaurer le dossier toutes les six secondes.

A partir de ce moment, le script va entrer dans un circuit très court où il se connectera au serveur configuré de commande et de contrôle (C&C) en HTTP, annonçant qu’il est prêt à accepter les commandes.  Le serveur C&C est hardcodé 127.0.0.1, il n’y a donc pas de commande à distance établie et d’adresse de contrôle dans cet échantillon. Cela peut donc dire que l’échantillon est juste un test, ou bien qu’il y a un mécanisme de rebouclage installé sur l’ordinateur où il fonctionne. Le malware donne des informations sur le système, tels que le nom d’utilisateur, le nom de l’ordinateur, l’OS, etc.

Commandes possibles

uninstall Désinstaller le script
RE Recharger le script
download Télécharger un dossier de %url
update Mettre à jour le script et recharger
execute Executer un fichier
cmd Commande shell directe
Attack Ping flood contre cible donnée
ourl Ouvrir URL
close Sortir du script
shutdown Eteindre l’ordinateur
restart Redémarrer l’ordinateur
logoff Fermer la session

Attribution

Sur internet, n’importe qui peut proclamer appartenir à n’importe quel mouvement de son choix. Ils peuvent non seulement utiliser tout type d’outil, prétendre être des personnes complètement différentes, mais aussi mentir autant qu’ils le veulent. Il est donc difficile mais pas impossible de trouver les auteurs des méfaits. Il faut pour cela des données solides, de l’expérience, et souvent l’application des lois. Pour cette raison, nous ne ferons aucune supposition sur qui se cache derrière cette intrusion dans le réseau de TV5. Toutefois, nous pouvons montrer des indicateurs.

L’échantillon 2962c44ce678d6ca1246f5ead67d115a est identique au script VBS mentionné par l’article de Breaking3Zero. Le script contient les mêmes formules de bienvenue, les mêmes JoHn.Dz et Najaf. Security.Najaf semble correspondre au handle en ligne d’un développeur apparemment situé dans la province de Najaf en Irak. Il est un utilisateur très actif sur le forum dev-point[.]com, un forum qui contient beaucoup de NJ-Rat/Worm. Il est qualifié de recodeur, programmeur, dans de nombreux scripts malicieux.

Un exemple est le dossier avec md5 de8e6e14b7e548eda7d4ff33bb3705ad:

Dans ce document, le serveur C&C est défini comme aziza12.no-ip.biz, un domaine qui a aussi été utilisé comme C&C par le malware Bladabindi, tel que l’échantillon avec md5 a5ce6dcb062ceb91a6fce73e99b3514d. C’est un domaine DynDNS, ce qui signifie qu’il n’y a pas de donnée de domaine d’enregistrement consultable. Cependant, si l’on examine l’historique IP de ce domaine, on peut constater qu’il est relié à de nombreuses adresses IP, la plupart situées en Irak. L’une d’elles, 178.73.223.9, a renvoyé cette année au domaine : islamstate.no-ip[.]biz.

Cela ne veut-il rien dire ?

Non, pas nécessairement. Le chevauchement d’IP peuvent arriver pour plusieurs raisons, les alias sur les forums et les malwares internes sont justes des chaînes de textes. NJRat et son malware relié sont utilisés par de nombreux activistes au Moyen-Orient, aussi leur utilisation dans ce piratage, si elle est confirmée, ne peut pas servir de base à une conclusion.

Détection

Les worms VBS basé sur NJ_W0rm et KJ_W0rm devraient à présent être détectés par la plupart des antivirus, même si c’est toujours un défi de détecter de manière fiable des malwares basés sur des textes, car ils sont modifiables très facilement.

Bluecoat a, en tout, cas ajouté une détection pour ces familles dans notre solution Malware Analysis Appliance :

L’attaque de TV5 Monde, tout comme l’attaque Sony, prouve que n’importe quelle entité sur internet est à présent une cible. Tous les conflits portent maintenant la probabilité d’une cyber dimension, car ces attaques sont faciles, peu coûteuses et relativement sans risque. Malheureusement, il ne semble pas y avoir de solution miracle pour cette situation. Les systèmes d’ordinateurs modernes sont tellement interconnectés et complexes qu’il y a toujours une opportunité de méfait si vous êtes persévérant, et vous n’avez même pas besoin de l’être tout le temps. Si le pirate ne peut pas trouver immédiatement un moyen de rentrer, il y a toujours le facteur humain. Les humains sont malheureusement difficiles à corriger. Cependant, des personnes qualifiées peuvent faire la différence entre un gain et une perte. Cela peut paraitre étrange de la part d’un vendeur de boîtes, mais la sécurité ne sort pas d’une boîte. Elle vient des gens qui utilisent les boîtes.

3 réflexions sur « Analyse du virus qui aurait attaqué TV5 Monde »

Les commentaires sont fermés.