Connu sous le nom de « gang DNSCalc », le groupe de hackers chinois ayant notamment piraté le New York Times l'année dernière utilise activement, depuis au moins 12 mois, le service de partage de fichiers Dropbox pour réaliser ses actions. Selon Rich Barger, un représentant de Cyber Squared, qui détaillait la démarche en fin de semaine dernière, « la démarche n'est pas nouvelle, mais les gens ne cherchent pas de ce côté-là, et n'y prêtent pas attention. »
Pourtant, utiliser un service reconnu pour amorcer un piratage est loin d'être une démarche anodine. « Les gens font confiance à Dropbox » commente Barger. De fait, lorsque les internautes, parfois employés d'entreprises qui utilisent Dropbox au quotidien, reçoivent un mail où il leur est demandé de télécharger une pièce jointe sur le service, beaucoup n'hésitent pas. Mais c'est là que DNSCalc entre en jeu.
Les pirates utilisent des comptes Dropbox légitimes, sur lesquels sont stockés des fichiers zippés. Le fichier contenu à l'intérieur est légitime, mais une fois le PDF ouvert, un malware s'active en parallèle et créé une backdoor sur l'ordinateur infecté. Là, un blog Wordpress lui aussi créé par les hackers, prend le relais et sert de pont entre le malware et un serveur distant de contrôle et de commande, qui va approfondir l'attaque.
Les entreprises qui utilisent Dropbox sont nombreuses à mettre le service sur leur « liste blanche », évitant le contrôle systématique des fichiers qui y sont récupérés. De même, les accès à des blogs Wordpress n'attirent pas l'attention, ce genre de site étant courants : un constat qui explique pourquoi le piratage du New York Times avait duré 4 mois avant qu'un problème ne soit relevé.
Pour Rich Barger, « il n'y a pas de solution miracle » dans une telle cyberattaque, difficile à détecter rapidement. Pour l'expert en sécurité, la meilleure approche pour les entreprises - qui sont les principales cibles de ce type de démarches malveillantes - est de réaliser une veille des nouvelles techniques utilisées par les pirates, qui sont de plus en plus inventifs, pour mieux les prévenir.
Le gang DNSCalc est de son côté toujours en activité, et a même été classé parmi les 20 groupes de hackers chinois les plus actifs dernièrement par l'éditeur Mandiant.