La backdoor ShadowPad infecte les solutions serveurs de NetSarang

Des chercheurs ont découvert une backdoor dans les solutions de gestion de serveurs de NetSarang utilisées par des centaines d’entreprises.

Les spécialistes de Kaspersky Lab ont découvert une porte dérobée au sein des produits de NetSarang. Cette société sud-coréenne propose des solutions de gestion des serveurs. Les produits concernés sont, selon le bulletin du CERT français : Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218, Xlpd 5.0 Build 1220.

Ces solutions sont largement utilisées dans plusieurs sociétés à travers le monde et dans des domaines divers : banques, finances, enseignement, télécommunications, industrie, énergie et transport.

Cette porte dérobée a été nommée par l’équipe de Kaspersky Lab, ShadowPad. A la suite d’une enquête sur un serveur DNS qui réclamait des données financières, les experts ont trouvé l’origine de ces requêtes, la solution de NetSarang. Plus exactement, le fautif était un module malveillant caché dans le fichier nssock2.dll. Plus grave, ce module disposait d’un certificat légitime de NetSarang, preuve que l’infrastructure de l’éditeur a été compromise.

Une backdoor discrète et modulaire

Le module est relativement complexe, explique Kaspersky Lab dans un blog. Il est caché au sein de la bibliothèque à travers plusieurs couches de chiffrement. Dans un premier temps, le contact avec le serveur de commandes et contrôle reste basique avec l’envoi d’informations toutes les 8 heures,  comme le nom du PC, le domaine, le nom des utilisateurs. Mais le serveur C&C peut aussi à tout moment émettre, via une requête DNS TXT sur un domaine spécifique, une charge utile pour accéder à l’ensemble du système. A noter que la backdoor est modulaire en restant présente dans le registre grâce à un système de fichier virtuel (VFS). Ce système comprenait notamment un algorithme de génération de domaine. Les attaquants avaient déjà enregistrés des domaines pour une période courant de juillet à décembre 2017.

Pour les chercheurs, ce type d’attaques s’apparente au modus operandi de groupes de cyber-espionnage sinophiles, comme PlugX et Winnti. Une fois débusquée, Kaspersky Lab a immédiatement contacté NetSarang dont les équipes ont été très réactives pour mettre à jour les solutions concernées et bloquer la backdoor.

A lire aussi :

Quand un DSI laisse des backdoors pour pirater son ancien employeur

Backdoors dans le chiffrement : la France et l’Allemagne insistent

Photo credit: grover_net via Visualhunt.com / CC BY-ND