Numéro : AL22-009
Date : 13 juin 2022
Auditoire
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Vue d’ensemble
Le 13 juin 2022, l’Unité 42 de Palo Alto a publié un rapport sur PingPull, un maliciel de porte dérobée exploité par un auteur de menace doté de moyens sophistiqués.
Détails
Le 13 juin 2022, l’Unité 42 de Palo Alto Networks a publié un rapport Note de bas de page 1 qui décrit en détail un nouvel outil d’accès à distance (RAT pour Remote Access Tool), nommé PingPull, utilisé par un auteur de menace persistante avancée (MPA). Cet auteur mène des activités malveillantes depuis au moins 2012 et cible des fournisseurs de télécommunications, des institutions financières et des entités gouvernementales.
PingPull est une porte dérobée légère prenant en charge le protocole de transfert hypertexte (HTTP pour Hypertext Transfert Protocol) et le protocole de message de contrôle Internet (ICMP pour Internet Control Message Protocol). Cet outil permet aux auteurs de menaces d’exécuter des commandes et d’accéder à l’hôte compromis en créant un tunnel inversé.
De façon générale, le maliciel installé possède les capacités suivantes :
- dresser la liste des lecteurs et des répertoires du système;
- copier, déplacer, lire, écrire, modifier et supprimer des fichiers et des répertoires;
- lancer des processus;
- chiffrer des communications.
PingPull se fait passer pour un service « iphlpsvc » légitime et se connecte à une infrastructure en se servant de certificats configurés de façon inhabituelle. Note de bas de page 1
Le Centre pour la cybersécurité a reçu des rapports indiquant que des organisations du Canada avaient été touchées par ce maliciel.
Mesures recommandées
Afin de renforcer la posture défensive des réseaux essentiels et de réduire le risque d’infection, le Centre pour la cybersécurité recommande aux organisations de passer en revue les indicateurs de compromission inclus dans le rapport de l’Unité 42 de Palo Alto Networks et de prendre les mesures nécessaires. Note de bas de page 1
Comme il n’a pas vérifié les détails techniques mentionnés dans la divulgation en question, le Centre pour la cybersécurité fournit la présente information telle quelle à des fins de sensibilisation et de prise de mesures potentielles. Avant de mettre en œuvre l’une des recommandations susmentionnées, il conviendra pour les organisations de vérifier l’incidence possible sur ses services et ses environnements en réseau.
S’ils relèvent des activités similaires aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).