Des hackers chinois exploitent VLC pour espionner des gouvernements étrangers

Publié le 14 avril 2022 à 11h30

Un groupe chinois de hackers utilise VLC pour lancer des malwares afin d'espionner des membres de gouvernements étrangers. Le groupe, nommé Cicada, Stone Panda ou encore APT10 s'en prend à des organisations du monde entier, menaçant les États-Unis, Israël ou encore l'Inde.

Rien de plus facile que d'utiliser un logiciel aussi répandu et simple que VLC. En accès libre, complètement gratuit, le léger logiciel VLC est téléchargé par presque tout le monde, ce qui facilite évidemment le travail des pirates.

Des pirates sponsorisés par le gouvernement chinois

Pour arriver à ses fins, Cicada utilise une méthode de piratage simple et efficace. Les hackers insèrent un fichier malveillant dans une version propre de VLC. Une fois à l'intérieur, ils utilisent un serveur d'accès à distance VNC pour contrôler l'ordinateur et accéder aux fichiers. Ils utilisent des logiciels tiers comme Sodamaster pour éviter d'être détectés.

Le groupe pourrait espionner les gouvernements étrangers pour le gouvernement chinois, auquel l'administration américaine l'avait directement relié en 2018. Cette hypothèse est parfaitement plausible au vu des moyens dont dispose le groupe Cicada. Les hackers visent des organismes clés, comme le montrent les attaques répétées contre des organisations gouvernementales, des ONG, ou encore des groupes religieux. D'autres groupes du secteur privé, comme des entreprises pharmaceutiques ou de télécommunications, ont aussi été victimes de ces intrusions. Ces attaques semblent être encore en cours et pourraient bien constituer une menace pour les gouvernements que la Chine tente d'espionner.

VLC media player

Prise en charge de nombreux formats vidéo et audio.
Interface utilisateur simple et intuitive.
Logiciel open source sans publicités.

10 / 10

Télécharger

Source : Android Police

Par Louise Jean

J'écris sur tout ce qui lie tech, politique et société. Et quand je n'écris pas, je voyage!

Articles de Louise Jean

Piratage

Malware / Ransomware

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (8)

nicgrover

S’ils n’utilisaient que cela…

Morak

« Les hackers insèrent un fichier malveillant dans une version propre de VLC. »

Mais donc on est infecté qu’en téléchargeant VLC à partir de lien autre que le site officiel c’est ça ?
Comme télécharger via Clubic pourrait nous donner un VLC contaminé par les services secrets français

Ya que les sites officiels qui sont sécures à priori?

domdom2

Pas de solution miracle, mais effectivement il vaut mieux utiliser des sources fiables. Ce n’est pas une garantie suffisante mais c’est déjà mieux.

L’installation en bac à sable avec surveillance des connexions externes et aussi une bonne pratique. Le tout pouvant être gérer par un firewall ngfw ou par des solutions dédiées.

LeToi

Donc les cibles potentielles n’ont qu’à faire attention à l’origine du téléchargement du programme, et prendre le logiciel directement sur le site officiel français et non des sites bizarroïdes chinois ou russes… même si je sais que certaines entreprises peuvent distribuer une version portable pour aller avec un programme, la parade n’est heureusement pas très compliquée

Smax2k

Ce serait plus des fichiers vidéo que tu ouvre avec vlc et après tes infecter ?

Dahita

Effectivement l’article n’est pas bien clair; ont-ils infiltre les serveurs de VLC pour en modifier le fichier officiel disponible en telechargement?

juju251

Non.
Tu n’es JAMAIS à l’abri que le serveur de l’éditeur n’ait pas été piraté et que les fichiers aient pu être modifié.

Alors, certes c’est rare mais c’est déjà arrivé :

Et d’autres.

D’ailleurs, une des attaques massives de ces dernières années (et célèbre) est notpetya, un wiper (qui efface les données) déguisé en ransomware (qui chiffre les données et demande une rançon), il s’est diffusé à l’origine par une version modifiée (illégalement évidemment) d’un logiciel de compta utilisé en Ukraine, cf :

https://fr.wikipedia.org/wiki/Cyberattaque_NotPetya#Les_cibles_et_vecteurs_d’infection

JohanPirlouit

Pour cette fois, se contenter de recopier un article qui n’explique rien mais dont la réponse à LA question « comment font-ils pour insérer un fichier malveillant dans un VLC propre ? » se trouve déjà depuis plusieurs jours dans les commentaires est un manque de professionnalisme criant et loin des standards de certains autres articles de Clubic.

Car oui, un lecteur de l’article qui sert de source à celui-ci a répondu il y a 6 jours déjà (un certain macr0t0r en date du 9 avril ; oui, ça peut servir d’ouvrir et de lire les commentaires à un article, même quand ils sont hébergés chez Disqus) en indiquant un lien vers une VRAIE explication :

https://www.bleepingcomputer.com/news/security/chinese-hackers-abuse-vlc-media-player-to-launch-malware-loader/

Google traduction (ou un autre) permet de comprendre en 1 clic de quoi il retourne et comment l’attaque se fait … et ce n’est apparemment pas par une version piratée de VLC proposée en téléchargement mais bien à la suite d’une intrusion “basique” sur les postes visés.

Extrait de l’article traduit en français :

Il est prouvé qu’un accès initial à certains des réseaux piratés s’est fait via un serveur Microsoft Exchange, ce qui indique que l’acteur a exploité une vulnérabilité connue sur des machines non corrigées.

Des chercheurs de Symantec ont découvert qu’après avoir accédé à la machine cible, l’attaquant déployait un chargeur personnalisé sur des systèmes compromis à l’aide du populaire lecteur multimédia VLC.

Brigid O Gorman du Symantec Threat Hunter Team a déclaré à BleepingComputer que l’attaquant utilise une version propre de VLC avec un fichier DLL malveillant dans le même chemin que les fonctions d’exportation du lecteur multimédia.

La technique est connue sous le nom de chargement latéral de DLL et est largement utilisée par les acteurs de la menace pour charger des logiciels malveillants dans des processus légitimes afin de masquer l’activité malveillante.

Voili…