NotRobin : méfiez-vous (aussi) des gentils malwares
Au mois de décembre, Citrix annonçait une vulnérabilité grave sur Citrix Application Delivery Controller et Netscaler Gateway. Cette vulnérabilité immatriculée CVE-2019-19781 permet l’exécution de code à distance sur la machine affectée et ne dispose pas de correctif. Citrix a pour l’instant simplement publié des mesures de contournement visant à protéger les instances vulnérables, et celles-ci ne marchent apparemment pas à tous les coups.
Depuis la découverte de la faille, plusieurs “exploits” ont également été publiés sur le Web. C’est donc une aubaine pour les attaquants et, dans le courant du mois de janvier, plusieurs chercheurs ont alerté la communauté sur le fait que les cybercriminels commençaient à sonder les instances de Citrix ADP afin d’exploiter la faille en question.
Une approche particulière
Dans la plupart des cas, le code malveillant poussé par les attaquants exploitant cette faille n’avait rien de très original : certains groupes tentent d’installer des mineurs de cryptomonnaie afin de profiter de la puissance de calcul offerte par les appareils compromis. Mais dans un post de blog, FireEye se penche sur un groupe d’attaquants exploitant cette faille selon un mode opératoire assez particulier.
Ce groupe exploite la vulnérabilité CVE-2019-19781 pour prendre le contrôle des gateway vulnérables. Mais contrairement à leurs petits camarades, les auteurs de ces attaques ne se précipitent pas pour installer un programme malveillant sur l’appareil de la victime : ils commencent par inspecter et supprimer toutes les installations de programmes malveillants concurrents sur l’appareil. Par la suite, ils installent leur propre programme malveillant, baptisé NotRobin par FireEye, qui contient deux routines visant à vérifier à intervalles réguliers la présence de scripts malveillants concurrents et à les supprimer.
Un bon samaritain ? Pas vraiment : selon FireEye, NotRobin dispose d’une fonctionnalité s’appuyant sur une clef d’authentification unique qui permet aux internautes disposant de la clef d’autoriser l’installation de certains scripts malveillants. « FireEye estime que l’acteur derrière NOTROBIN a compromis de manière opportuniste les appareils NetScaler, peut-être pour se préparer à une future campagne. Ils suppriment les autres logiciels malveillants connus, peut-être afin d’éviter d’être détectés par les administrateurs qui vérifient leurs appareils après avoir lu le bulletin de sécurité Citrix CTX267027. NOTROBIN bloque l’exploitation de CVE-2019-19781 sur les appareils compromis, mais conserve une porte dérobée pour un acteur avec une clé secrète », expliquent William Ballenthin et Josh Madeley de FireEye sur leur blog.
Les chercheurs de FireEye doutent néanmoins fortement des bonnes intentions des auteurs du malware et estiment que les auteurs de NotRobin se ménagent simplement une porte dérobée afin de pouvoir accéder plus tard aux machines compromises, tout en limitant les infections afin de rester sous les radars.
Pas une première
L’approche est assez peu fréquente, mais ce n’est pas la première fois qu’un programme malveillant exploitant une faille de sécurité connue “fait le ménage” en éliminant les programmes de ses concurrents.
On a notamment pu voir ce comportement lors de la vague des botnets IOT : Fbot s’était ainsi distingué en désinfectant les appareils qu’il infectait, ce qui avait notamment donné lieu à une guerre entre les opérateurs de Fbot et les opérateurs d’un autre logiciel malveillant, Trinity, pour le contrôle d’appareils Android infectés. On a également pu constater le même phénomène parmi les opérateurs des multiples variantes de Mirai qui ont émergé après la publication du code source par ses auteurs.
Dans la plupart des cas, l’objectif pour les opérateurs est d’entraver la concurrence afin de s’assurer que son botnet comptera plus de machines que celui d’en face, et donc pouvoir le monétiser plus facilement. On a pu constater quelques rares exemples de white hat ayant recours à des infections pour protéger les appareils, mais celles-ci se comptent sur les doigts de la main. Dans le cas de NotRobin, les chercheurs de FireEye mettent sérieusement en doute ce scénario et au vu des fonctionnalités du malware, on les comprend.
