Microsoft : malware dans la chaîne d'approvisionnement

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Microsoft : malware dans la chaîne d'approvisionnement

Publié le 17 septembre 2012 à 09:53 par Jérôme G.

Lire sur mobile

La firme de Redmond a pris le contrôle d'un domaine qui hébergeait le botnet Nitol. Le malware a infecté des machines lors de leur cycle de production en Chine.

La semaine dernière, Microsoft a annoncé la conduite d'une nouvelle opération visant un botnet. Ce n'est pas une première pour la firme de Redmond déjà impliquée dans le démantèlement de plusieurs botnets.

Cette fois-ci, la cible a été Nitol. Une action menée tant sur le plan technique que juridique, Microsoft ayant obtenu d'une cour de Virginie le droit de saisir le domaine 3322.org qui hébergeait le botnet.

Un nouveau système DNS a été créé par Microsoft afin de bloquer le botnet et près de 70 000 autres sous-domaines malveillants hébergés sur 3322.org. Ce système permet à tout le trafic issu de sous-domaines légitimes d'opérer sans encombre.

Cette initiative est de nature à perturber le contrôle exercé par les cybercriminels sur des machines infectées pour rejoindre les rangs de Nitol. Pour l'infection, les chercheurs de Microsoft ont découvert que les cybercriminels ont infiltré des chaînes d'approvisionnement non sûres afin d'introduire des logiciels contrefaits embarquant un malware. En l'occurrence, des versions du système d'exploitation Windows.

" Une chaîne d'approvisionnement entre un fabricant et un consommateur devient non sûre quand un distributeur ou un revendeur reçoit ou vend des produits de sources inconnues ou non autorisées ", écrit Microsoft.

Une telle compromission a été repérée sur des ordinateurs achetés par les enquêteurs de Microsoft dans diverses villes en Chine : " nous avons acheté plusieurs ordinateurs neufs en Chine et le malware était déjà installé ".

En réalité, Microsoft extrapole dans la mesure où ce sont vingt ordinateurs qui ont été achetés en Chine en août 2011. Quatre d'entre eux contenaient des malwares dont un le malware Nitol.

Plusieurs variantes de Nitol existent. D'après Microsoft, le malware est capable d'enrôler les machines infectées dans un botnet afin d'exécuter des attaques par déni de service distribué, générer du spam. Sont également évoqués le vol de mots de passe et d'autres données, l'activation du microphone et de la webcam à des fins d'espionnage, sans compter le téléchargement d'autres nuisibles.

Si l'ampleur du botnet Nitol n'est pas véritablement connue, les 70 000 sous-domaines malveillants de 3322.org sont utilisé par 565 types différents de malwares.