Analyse technique de Hola

1er juin 2015
Vectra AI Security Research team
Cybersécurité
Analyse technique de Hola

Mis à jour le 3 juin 2015 à 11h00

Récemment, une application populaire de protection de la vie privée et de déblocage connue sous le nom de Hola a attiré l'attention de la communauté de la sécurité en raison d'une série de vulnérabilités et de pratiques très discutables qui permettent au service de se comporter essentiellement comme un botnet à louer par l'intermédiaire de son service jumeau appelé Luminati. Les chercheurs de Vectra se sont penchés sur cette application après l'avoir observée dans les réseaux des clients au cours des dernières semaines, et les résultats sont à la fois intrigants et troublants. Outre ses diverses fonctions permettant de créer des réseaux de zombies, qui font désormais partie du domaine public, l'application Hola contient toute une série de caractéristiques qui en font une plateforme idéale pour exécuter des cyberattaques ciblées.

Commençons par les bases‍

Hola se présente comme un outil de navigation anonyme et de déblocage permettant d'accéder à n'importe quel contenu, quel que soit l'endroit où l'on se trouve. Le "déblocage" se présente sous deux formes. Tout d'abord, un utilisateur de Hola peut prétendre être dans le pays de son choix, ce qui lui permet d'accéder à des contenus qui ne seraient disponibles que dans le pays cible. Un exemple courant est celui d'un citoyen canadien qui accède à la version américaine de Netflix. Deuxièmement, un employé d'une entreprise qui bloque certains flux sortants peut utiliser Hola pour contourner le blocage.

Le logiciel est disponible sous forme d'extension de navigateur ou d'application autonome avec des versions pour tous les principaux systèmes d'exploitation, et Hola revendique 46 millions d'utilisateurs dans le monde. Les chercheurs de Vectra ont analysé la version Windows 32-bit de Hola pour Windows, et les versions Android ARM et Android x86 de Hola pour mobile disponibles avant le 27 mai 2015.

Une fois installé, le service agit comme un gigantesque réseau peer-to-peer connu en interne sous le nom de "Zon", où le trafic Internet d'un utilisateur est renvoyé par d'autres utilisateurs de Hola. Dans le réseau Zon, chaque utilisateur non rémunéré est utilisé comme nœud de sortie, ce qui signifie que si vous installez l'application, vous transporterez le trafic d'autres utilisateurs anonymes. Pire encore, Hola met en cache le contenu sur les appareils des utilisateurs, ce qui signifie que non seulement vous transporteriez le trafic de quelqu'un d'autre à votre insu, mais que vous pourriez également être utilisé pour mettre en cache son contenu. Ce sont des choses que Hola déclare publiquement sur son site web et dans son contrat de licence. Les utilisateurs qui viennent de s'en rendre compte ont été choqués, mais l'histoire ne s'arrête pas là.

Nous avons décidé d'analyser ce logiciel parce qu'il déclenchait un type de détection que nous appelons "accès à distance externe" dans les réseaux de certains de nos clients. L'algorithme qui sous-tend cette détection détecte les connexions qui sont établies depuis l'intérieur du réseau d'un client vers l'internet et l'interaction qui s'ensuit est clairement pilotée par un humain situé à l'extérieur du réseau du client. Ce schéma est cohérent avec le fonctionnement d'un réseau d'anonymat peer-to-peer. L'ordinateur de l'employé sur lequel Hola est installé doit utiliser des techniques bien connues pour faire en sorte qu'un pare-feu autorise la connexion de l'homologue et ces techniques font en sorte que la connexion semble - aux yeux du pare-feu et de Vectra - être initiée depuis l'ordinateur de l'employé vers l'homologue qui souhaite l'utiliser. Une fois la connexion établie, c'est l'homme externe qui contrôle l'homologue qui mène toute l'action.

Lire un blog sur les cyberattaquants utilisant The Onion Router (en anglais)

Creuser plus profond‍

Les choses deviennent un peu plus intéressantes lorsque l'on réalise que Hola (l'entreprise) exploite une deuxième marque appelée Luminati qui vend l'accès au réseau Hola à des tiers. Si cela vous semble être la recette d'un réseau de zombies, vous n'êtes pas le seul. En fait, les modérateurs du site controversé 8chan affirment avoir subi un DDoS provenant du réseau Hola/Zon.

En outre, des chercheurs tiers ont découvert une série de vulnérabilités dans le logiciel Hola qui permettent non seulement de suivre les utilisateurs, mais aussi de les exploiter pour exécuter un code arbitraire sur l'ordinateur d'un utilisateur Hola. La plupart des éditeurs de logiciels sont jugés sur la compétence de leurs programmeurs en matière de prévention des failles de sécurité et sur la rapidité avec laquelle ils réagissent aux failles signalées. Les failles ont été rendues publiques le 29 mai. Le 1er juin, Hola a déclaré que les vulnérabilités avaient été corrigées, mais cette déclaration a été réfutée par les chercheurs tiers dans une mise à jour de leur message initial.

Il semble également que le DDoS mentionné ci-dessus ne soit pas la première fois que des pirates tentent d'utiliser Hola pour des activités malveillantes. En analysant le protocole utilisé par Hola, les chercheurs de Vectra ont trouvé sur VirusTotal 5 échantillons malware différents contenant le protocole Hola. Les hachages SHA256 de ces échantillons sont listés ci-dessous :

  • 83fd35d895c08b08d96666d2e40468f56317ff1d7460834eb7f96a9773fadd2d
  • 2f54630804eeed4162618b1aff55a114714eeb9d3b83f2dd2082508948169401
  • 65687dacabd916a9811eeb139d2c2dada1cefa8c446d92f9a11c866be672280b
  • 43498f20431132cd28371b80aed58d357367f7fa836004266f30674802a0c59c
  • 59a9fedeb29552c93bb78fff72b1de95a3c7d1c4fc5ad1e22a3bbb8c8ddbfaba

Sans surprise, cela signifie que les malfaiteurs ont réalisé le potentiel de Hola avant la récente vague de rapports publics des bienfaiteurs.

Permettre à un attaquant humain d'agir

En analysant Hola, les chercheurs de Vectra Threat Labs ont découvert qu'en plus des rapports indiquant que Hola permettait la création d'un réseau de zombies, il contenait une variété de capacités pouvant permettre une cyberattaque ciblée, menée par l'homme, sur le réseau dans lequel se trouve la machine d'un utilisateur de Hola.

Premièrement, le logiciel Hola peut télécharger et installer tout logiciel supplémentaire à l'insu de l'utilisateur. En effet, en plus d'être signé avec un certificat de signature de code valide, une fois Hola installé, le logiciel installe son propre certificat de signature de code sur le système de l'utilisateur. Sur les systèmes Windows, le certificat est ajouté au Trusted Publishers Certificate Store. Cette modification du système permet d'installer et d'exécuter tout code supplémentaire sans que l'utilisateur en soit informé par le système d'exploitation ou le navigateur.

En outre, Hola contient une console intégrée qui reste active même lorsque l'utilisateur ne navigue pas via le service Hola - elle est incluse dans le processus qui agit comme un transitaire pour le trafic d'autres pairs. La présence de cette console - appelée "zconsole" - est surprenante en soi, car elle permet une interaction humaine directe avec un nœud Hola même lorsque le service n'est pas activement utilisé par l'utilisateur du système. Si un humain extérieur au système parvenait à accéder à cette console, que pourrait-il faire ?

  • Lister et tuer tout processus en cours
  • Télécharger n'importe quel fichier avec une option permettant de contourner le contrôle anti-virus (AV)
  • Exécuter un fichier téléchargé et :
  • Exécuter le fichier avec le jeton d'un autre processus
  • Lancer le processus en arrière-plan
  • Ouvrir une socket vers une adresse IP, un périphérique, un guid, un alias ou un nom Windows.
  • Lire et écrire du contenu sur la socket vers la console ou vers un fichier

Ceci ne représente qu'un petit sous-ensemble des fonctionnalités disponibles dans la console. Les développeurs de la console ont eu la gentillesse d'inclure une page de manuel pour aider les personnes qui ne sont pas familiarisées avec les commandes.

Ces capacités peuvent permettre à un attaquant compétent d'accomplir presque n'importe quoi. Cela éloigne la discussion d'un réseau d'anonymat fuyant permettant la création d'un réseau de zombies, et nous oblige à reconnaître la possibilité qu'un attaquant puisse utiliser Hola comme plateforme pour lancer une attaque ciblée au sein de tout réseau contenant le logiciel Hola.

Par conséquent, nous encourageons vivement les organisations à déterminer si Hola est actif dans leur réseau et à décider si les risques soulignés dans ce blog sont acceptables. Pour ce faire, nous avons élaboré des règles Yara pour identifier si Hola est présent sur un système. Pour les clients qui ont déployé un système de prévention des intrusions (IPS), nous avons également créé des signatures Snort pour les aider à identifier le trafic Hola dans leur réseau.

Ajouts et clarifications depuis la première publication

  • Lorsque des déclarations ont été faites sur les réseaux de zombies en relation avec Hola, des précisions ont été apportées sur le fait que Hola a été utilisé pour activer un réseau de zombies et qu'il n'est pas lui-même un réseau de zombies.
  • Ajout d'informations dans le troisième paragraphe sur les versions spécifiques de Hola pour Windows et Hola pour mobile analysées pour ce blog. Ces informations figuraient déjà dans la section intitulée "SHA256 Hashes of Windows and Android Versions of Hola Software Analyzed" (hachage SHA256 des versions Windows et Android du logiciel Hola analysé). Ajout d'informations, devenues disponibles après la publication de notre blog, concernant les correctifs apportés par Hola à son logiciel.
  • Il a été précisé que les échantillons figurant sur VirusTotal indiquent des tentatives malveillantes d'utilisation de Hola ; il n'existe aucune preuve que ces attaques ont abouti.
  • Mise à jour de notre recommandation aux organisations dans le dernier paragraphe

Signatures Snort pour détecter le trafic Hola ou Luminati (lien vers le fichier)

alert tcp any any -> any any (msg : "VECTRA TROJAN Zon Network Encrypted" ; content :"

Foire aux questions