Un malware trouvé involontairement allié dans GitHub

L’abus de Winnti du dépôt de GitHub laisse le site dans la position délicate de décider quels projets peuvent rester et lesquels fermer.

Juste parce que c’est sur GitHub ne signifie pas qu’il est légitime. Un groupe d’espionnage financièrement motivé abuse d’un dépôt GitHub pour les communications C & C (commande et contrôle), a averti Trend Micro.

Les chercheurs ont trouvé que les logiciels malveillants utilisés par Winnti, un groupe principalement connu pour cibler l’industrie du jeu en ligne, se connectait à un compte GitHub pour obtenir l’emplacement exact de ses serveurs C & C. Le malware a cherché une page HTML stockée dans le projet GitHub pour obtenir la chaîne cryptée contenant l’adresse IP et le numéro de port du serveur C & C, a écrit Cedric Pernet, chercheur sur les menaces Trend Micro, sur le blog TrendLabs Security Intelligence. Il se connecte ensuite à cette adresse IP et à ce port pour recevoir d’autres instructions. Tant que le groupe a conservé la page HTML mise à jour avec les dernières informations de localisation, le logiciel malveillant serait en mesure de trouver et de se connecter au serveur C & C.

Le compte GitHub contenait 14 fichiers HTML différents, tous créés à diverses reprises, avec des références à près de deux douzaines d’adresses IP et de combinaisons de numéros de port. Il y avait 12 adresses IP, mais les attaquants tournaient entre trois numéros de port différents: 53 (DNS), 80 (HTTP) et 443 (HTTPS). Trend Micro a examiné le premier et le dernier commit timestamps sur les fichiers HTML pour déterminer que les informations du serveur C & C était en cours d’affichage sur le projet à partir du 17 août 2016 au 12 Mars 2017.

Le compte GitHub a été créé en mai 2016, et son unique référentiel, mobile-phone-project, a été créé en juin 2016. Le projet semble dériver d’une autre page générique de GitHub. Trend Micro estime que le compte a été créé par les attaquants eux-mêmes et non détourné de son propriétaire d’origine.

« Nous avons divulgué en privé nos résultats à GitHub avant cette publication et sont proactivement travailler avec eux sur cette menace », a déclaré Pernet. InfoWorld a communiqué avec GitHub pour plus d’informations sur le projet et la mettra à jour avec tous les détails supplémentaires.

GitHub n’est pas étranger à l’abus

Les organisations peuvent ne pas être immédiatement suspectes si elles voient beaucoup de trafic réseau pour un compte GitHub, ce qui est bon pour le malware. Il rend également la campagne d’attaque plus résistant, car le malware peut toujours obtenir les dernières informations sur le serveur, même si le serveur d’origine est arrêté par l’action de l’application de la loi. Les informations sur le serveur ne sont pas codées dans les logiciels malveillants. Il sera donc plus difficile pour les chercheurs de trouver des serveurs C & C s’ils ne rencontrent que les logiciels malveillants.

« L’abus de plates-formes populaires comme GitHub permet aux acteurs de la menace comme Winnti de maintenir la persistance du réseau entre les ordinateurs compromis et leurs serveurs, tout en restant sous le radar », a déclaré Pernet.

GitHub a été informé du dépôt problématique, mais il s’agit d’une zone délicate, car le site doit être prudent dans la façon dont il réagit aux rapports d’abus. Il ne veut évidemment pas que son site soit utilisé par des criminels pour transmettre des logiciels malveillants ou commettre d’autres crimes. Les termes de service de GitHub sont très clairs sur ceci: « Vous ne devez pas transmettre aucun vers ou virus ou n’importe quel code d’une nature destructrice. »

Mais il ne veut pas non plus fermer la recherche de sécurité légitime ou le développement de l’éducation. Le code source est un outil, et il ne peut pas être considéré comme bon ou mauvais par lui-même. C’est l’intention de la personne exécutant le code qui le rend bénéfique, comme la recherche de sécurité ou utilisé dans la défense, ou malveillant, dans le cadre d’une attaque.

Le code source du botnet Mirai, le botnet massif de l’IOT derrière la série d’attaques de déni de service distribuées l’automne dernier, se trouve sur GitHub. En fait, plusieurs projets GitHub hébergent le code source Mirai, et chacun d’eux est marqué comme étant destiné aux fins de développement «Recherche / IoC [Indicateurs de compromis]».

Cet avertissement semble suffisant pour que GitHub ne touche pas au projet, bien que n’importe qui puisse maintenant utiliser le code et créer un nouveau botnet. La société ne dépend pas de sa décision sur la possibilité que le code source puisse être utilisé de manière abusive, en particulier dans les cas où le code source doit d’abord être téléchargé, compilé et reconfiguré avant de pouvoir être utilisé de manière malveillante. Même alors, il ne scanne pas ou ne surveille pas les dépôts à la recherche de projets activement utilisés de manière nuisible. GitHub enquête et agit sur la base des rapports des utilisateurs.

GitHub évalue les projets potentiellement problématiques: «Faire partie d’une communauté ne consiste pas à profiter d’autres membres de la communauté. Nous n’autorisons personne à utiliser notre plate-forme pour la livraison d’exploits, comme l’hébergement de sites malveillants Exécutables ou en tant qu’infrastructure d’attaque, par exemple en organisant des attaques de déni de service ou en gérant des serveurs de commande et de contrôle. Cependant, nous n’interdit pas l’affichage de code source qui pourrait être utilisé pour développer des logiciels malveillants ou des exploits. La distribution de ce code source a une valeur éducative et fournit un avantage net à la communauté de la sécurité. « 

Les cybercriminels comptent depuis longtemps sur des services en ligne bien connus pour héberger des logiciels malveillants pour tromper les victimes, exécuter des serveurs de commande et de contrôle ou masquer leurs activités malveillantes des défenses de sécurité. Les spammeurs ont utilisé des raccourcisseurs d’URL pour rediriger les victimes vers des sites douteux et malveillants et les attaquants ont utilisé Google Docs ou Dropbox pour créer des pages d’hameçonnage. L’abus de services légitimes rend difficile pour les victimes de reconnaître les attaques, mais aussi pour les opérateurs de site à trouver comment empêcher les criminels d’utiliser leurs plates-formes.