Sélection de la langue

Alerte - Compromission de la chaîne d’approvisionnement touchant le logiciel Live Chat de Comm100 - Mise à jour 1

Numéro : AL22-012
Date : 2 octobre 2022
Mise à jour : 13 octobre 2022

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 30 septembre 2022, CrowdStrike a publié un blogue dans lequel il fait état d’une nouvelle compromission de la chaîne d’approvisionnement touchant Comm100 Network Corporation Note de bas de page 1. Le rapport décrit une compromission de la chaîne d’approvisionnement réalisée par un auteur de menace extrêmement compétent qui a transformé en cheval de Troie un programme d’installation de l’application de messagerie instantanée Live Chat de Comm100 en vue de distribuer un maliciel. Le programme d’installation a été signé le 26 septembre 2022 au moyen d’un certificat valide de Comm100 Network Corporation.

Le dernier signalement selon lequel le programme d’installation était infecté et accessible aux fins de téléchargement remonte au 29 septembre 2022. Récemment, Comm100 a publié un nouveau programme d’installation épuré (version 10.0.9).

Le Centre pour la cybersécurité a reçu des signalements de compromissions actives selon lesquels l’application dissimulant un cheval de Troie avait été installée et utilisée.

Mise à jour 1

Le 6 octobre 2022, Comm100 a publié un communiqué de presse Note de bas de page 3 détaillant l’incident de sécurité affectant son application de bureau Windows Agent Console. Des instructions spécifiques Note de bas de page 4 ont été incluses pour supprimer le cheval de Troie de l’application de bureau Windows Comm100 Agent Console version 10.0.8.

Le Centre pour la cybersécurité encourage les utilisateurs et les administrateurs à consulter ces pages Web des fournisseurs et à appliquer les mesures correctives fournies en plus de suivre les mesures recommandées ci-dessous.

Mesures recommandées

Actuellement, seules deux versions ont été signalées comme contenant la charge de virus :

  • Version 10.0.72 avec hachage SHA256 6f0fae95f5637710d1464b42ba49f9533443181262f78805d3ff13bea3b8fd45
    • CrowdStrike signale qu’il est au courant que ce fichier contient la même porte dérobée, mais qu’il ne l’a pas observé dans la nature.
  • Version 10.0.8 avec hachage SHA256 ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86
    • CrowdStrike signale que ce fichier est une application Electron qui contient une porte dérobée JavaScript (JS) dans le fichier main.js de l’archive ASAR intégrée.

On recommande aux organisations d’établir les systèmes qui ont déployé l’une ou l’autre de ces versions et de les isoler. CrowdStrike a également publié plusieurs indicateurs de compromission (IC) pour aider les responsables de la défense réseau à détecter les activités malveillantes. Note de bas de page 1

Le Centre pour la cybersécurité tient à souligner qu’il est possible que l’atténuation de problèmes, de systèmes ou de serveurs individuels ne suffise pas à atténuer une compromission de systèmes orchestrée par des auteurs de menace hautement qualifiés. Dans de tels cas, selon le degré de sophistication des moyens employés par l’auteur de menace, les organisations devraient envisager de mettre en œuvre des mesures d’atténuation plus poussées que le simple retrait ou la simple mise à jour du produit. Le Centre pour la cybersécurité recommande aux clients touchés de passer en revue son bulletin de cybersécurité conjoint sur les approches techniques à la détection et à l’atténuation des activités malveillantes Note de bas de page 2.

S’ils relèvent des activités similaires aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).

Date de modification :