ASafety - AntiSecurity Un projet qui vous tiendra @coeur...

[Mymy]

Google Piraté !

Google a entrepris une croisade en Chine après des attaques répétées contre Google où des pirates auraient utilisé une souche modifiée du cheval de Troie Hydraq pour prendre le contrôle à distance d’ordinateurs de Google. Le but ? Trouver des informations sur des opposants au gouvernement chinois directement sur les comptes Gmail.

Google a menacé, mardi 12 janvier, de cesser ses opérations en Chine, après des attaques informatiques massives "venant de Chine" ciblant des militants chinois des droits de l'homme. Google a indiqué que ces attaques, qui ont également touché d'autres sociétés, avaient relancé le débat sur la liberté d'expression en Chine, alors qu'en décidant de s'y installer en 2006 le groupe avait pensé qu'un accès accru à Internet serait facteur d'ouverture.

"Nous avons détecté une attaque très sophistiquée et ciblée, venant de Chine, contre notre infrastructure d'entreprise et qui a résulté en un vol de propriété intellectuelle", a affirmé David Drummond, responsable juridique de Google, dans un communiqué. L'attaque "a touché au moins vingt autres grandes sociétés dans de nombreux secteurs, notamment l'Internet, la finance, la technologie, les médias et la chimie", a ajouté M. Drummond sans citer les sociétés concernées.

HILLARY CLINTON ATTEND DES EXPLICATIONS

Google a dit avoir "la preuve que le but premier des assaillants était d'accéder aux comptes Internet Gmail de militants chinois des droits de l'homme", et a estimé à ce stade que l'attaque n'avait pas atteint son objectif, faute d'accès au contenu des messages. L'affaire a pris un tour diplomatique, la secrétaire d'Etat américaine, Hillary Clinton, ayant demandé une explication à Pékin. "Google nous a informés de ces accusations, qui soulèvent de très graves inquiétudes. Nous attendons une explication du gouvernement chinois", a-t-elle fait savoir dans un communiqué. "Pouvoir travailler avec confiance dans le cyberespace est fondamental dans une société et une économie modernes", a estimé Mme Clinton.

Indépendamment de cette attaque contre son organisation centrale, Google dit avoir découvert que "des tierces parties" avaient eu accès de façon régulière aux comptes de dizaines d'utilisateurs de Gmail, qui sont des défenseurs des droits de l'homme chinois demeurant aux Etats-Unis, en Chine et en Europe, non pas en s'attaquant aux serveurs de Google mais par des méthodes classiques de piratage (hameçonnage et logiciels malveillants).

GOOGLE N'EST "PLUS DISPOSÉ À CENSURER LES RECHERCHES"

En raison de ces attaques et de la politique de "surveillance" de Pékin, "nous avons décidé que nous n'étions plus disposés à censurer les recherches sur le site [chinois] google.cn" comme le demandaient les autorités, a ajouté la compagnie californienne. Elle prévoit de discuter avec les autorités chinoises dans les semaines qui viennent de la possibilité de "faire fonctionner un moteur de recherche sans filtre dans les limites de la loi chinoise.

Google a précisé avoir décidé de rendre ces cyber-attaques publiques parce qu'il s'agit du "débat mondial sur la liberté d'expression". "La décision de réexaminer nos activités commerciales en Chine a été incroyablement difficile", écrit encore le conseiller juridique de l'entreprise. Le site chinois Google.cn avait été lancé en janvier 2006 "avec la conviction que les avantages d'un plus grand accès des Chinois à nos informations et d'un Internet plus ouvert l'emportaient sur notre inconfort" devant la censure, ajoute-t-il. Après presque quatre ans de présence en Chine, le pays qui compte le plus grand nombre d'internautes au monde, Google y occupe 29,1 % du marché, contre 61,6 % pour le moteur de recherche chinois Baidu.


-------------------


Le contrôle informatique de Pékin

La Chine a mise en place ces dernières années de nombreuses mesures de surveillance et de contrôle du Web. Parmi les principales, on trouve :

– le "Great Firewall of China", ou "Grande muraille numérique", un système élaboré de filtrage qui empêche les Chinois de se connecter à certains sites, notamment étrangers ;

– le "barrage vert", un logiciel de contrôle destiné à bloquer les sites pornographiques et politiques, que Pékin a tenté d'imposer sur tous les ordinateurs neufs en juin dernier. Le projet a été repoussé ;

– les coupures d'accès : lors des émeutes dans le Xinjiang, Pékin n'a pas hésité à couper totalement l'accès au Web dans la région, ainsi que les réseaux de téléphonie mobile ;

– la "police du Net" : une division spéciale de la police chinoise surveille les réseaux pour y repérer les activités illégales, pornographiques ou politiques ; elle est suppléée par de très nombreux auxiliaires, chargés de publier sur le Net des commentaires favorables au gouvernement et rémunérés au nombre de messages écrits.

Comment Google a été attaqué

Le spécialiste de la sécurité McAfee a découvert entre autres choses qu'un des vecteurs de l'attaque dont le moteur annonçait avoir été victime n'était autre qu'une faille jusqu'alors inconnue d'Internet Explorer.

Nom de code « opération Aurora ».

C’est d’un titre digne d’un James Bond que les chercheurs de McAfee ont baptisé l’attaque ciblant plusieurs employés de Google et d’autres entreprises américaines. Le géant de la recherche, qui a également subi des [url="http://www.01net.com/editorial/510977/victime-de-cyberattaques-google-menace-de-quitter-la-chine/"]tentatives de piratage de ses infrastructures[/url], est allé jusqu'à reconsidérer sa présence sur le marché chinois, pays qu'il soupçonne d'être à l'origine de ces opérations. Dans un [url="http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/"]communiqué[/url], le Chief Technology Officer de l'éditeur, George Kurtz, explique que l’un des malwares utilisés dans le cadre de l'opération Aurora a exploité une faille d’Internet Explorer auparavant inconnue.
Microsoft a confirmé la découverte de McAfee et a publié [url="http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx"]un message d’alerte[/url]sur son site. Cette faille concerne toutes les versions récentes d’Internet Explorer (6, 7 et 8) ainsi que la plupart des systèmes d’exploitation de la firme, y compris Windows 7. Cependant, elle aurait essentiellement touché des utilisateurs d'IE 6, lequel laisserait passer l’attaque plus facilement, contrairement à des versions plus récentes du navigateur.


« Un travail de pro »


François Paget, chercheur chez McAfee Labs, en a dit plus à 01net. : « Nous voyons de plus en plus d’attaques zero-day [des attaques qui exploitent une faille d’un programme jusqu’alors inconnue, NDLR], mais dans cet exemple précis nous sommes devant un travail de pro. »
Comment l’attaque s’est-elle déroulée ? « Selon mes informations, poursuit M. Paget, des e-mails très bien personnalisés ont été envoyés à des personnes ciblées, leur proposant de se rendre sur une page contenant l’exploit (1). » Ces e-mails avaient été en effet rédigés pour ressembler comme deux gouttes d’eau à un message provenant d’une personne de confiance. De l’excellent « social engineering », en somme, doublé d’une faille encore jamais vue.
Soit un cocktail explosif pour contaminer en quelques secondes une machine. « A partir du moment où l’utilisateur se rend sur la page infectée, un exploit sous forme de code Javascript malveillant, baptisé exploit-Comele, installe un dropper (2), nommé roarur.dr, sur la machine infectée. Celui-ci implante alors plusieurs fichiers dans Windows, dont une DLL, roarur.dll, qui permet à l’assaillant de prendre contrôle de la machine », poursuit M. Paget.


Une attaque aussi discrète qu'efficace


Contrairement à d’autres assauts informatiques de masse, l’opération Aurora a été pensée dès le départ pour être aussi discrète qu’efficace. Et il n'y a que peu de risques que la machine de monsieur Tout-le-monde soit touchée par ce cheval de Troie. Selon M. Paget, « l’attaque n’a concerné que quelques entreprises et quelques dizaines de personnes, dont des employés de Google, et ne s’est pas reproduite ensuite. Nous connaissons la faille, nous sommes en possession des échantillons du code malveillant et nous surveillons son éventuelle propagation. Mais nous n’avons pas revu ces fichiers sur le Web depuis ».

Pourquoi Aurora, au fait ? « Parmi les fichiers infectés sur une machine, nous avons découvert une DLL qui contenait un lien vers une bibliothèque utilisée pour la compilation des programmes malveillants. Ce lien pointait vers un dossier de la machine de l’assaillant appelé Aurora », précise M. Paget.
Pour l’instant, aucune information découverte dans ces fichiers, toujours en analyse, ne permet de confirmer l’implication de la Chine dans cette attaque. D'autres sources sont plus affirmatives. Selon un rapport d'une filiale de Verisign, cité par Ars Technica, les preuves de l'origine chinoise sont incontestables.
Et l'identité des personnes concernées, parmi lesquelles on comptait aussi des militants chinois des droits de l’homme, ne laisse guère de doutes. « Nous savons qu’un certain nombre d’Etats sont tentés d’utiliser ce genre de moyens pour leurs propres besoins d’espionnage, et la Chine, au même titre que la Russie, fait partie de ces Etats parfois montrés du doigt », dit encore M. Paget. L’opération Aurora rappelle effectivement fortement GhostNet, une gigantesque opération de cyberespionnage en provenance de Chine qui, au début 2009 http://www.01net.com/editorial/500430/g ... -de-chine/ avait ciblé plus de 1 000 machines à travers le monde, dont celles des bureaux du dalaï-lama ainsi qu’une de l’Otan.

(1) Opération tirant parti d'une faille d'un logiciel pour pénétrer dans une machine.
(2) Un dropper est un fichier téléchargé après une contamination, en fait un cheval de Troie de taille généralement minuscule, dont le rôle est d'installer (et/ou de télécharger) ensuite le véritable code malicieux sur un ordinateur.

[x[@♥]]

Voici une vidéo de démonstration de Aurora. En effet, l'exploit ayant beaucoup fait parler de lui, le projet MetaSploit à bien sûr créé le Payload adapté!

Visionner donc ici!