Le SI de Bayer a été contaminé par Winnti pendant une durée indéterminée
Le groupe en a fait lui-même la découverte il y a plus d’un an. Il avait laissé un système compromis accessible en ligne pour tenter de piéger les attaquants. A la place, il s’est attiré l’attention de journalistes.
Bayer l’a confirmé à nos confrères d’ARD : son système d’information a été infecté par le maliciel Winnti. C’est début 2018 que cette présence a été détectée, mais le groupe se dit incapable de déterminer quand la compromission a commencé. A la fin de ce mois de mars, le nettoyage était terminé. Bayer indique ne pas disposer d’éléments pouvant suggérer d’éventuelles exfiltrations de données et précise avoir porté plainte.
Ce n’est pas la première fois que ce maliciel est détecté dans le système d’information d’un important groupe outre-Rhin : en 2016, il a été trouvé dans l’environnement IT de ThyssenKrupp.
La découverte de nos confrères ne tient pas du hasard : il existe un script pour l’outil nmap permettant de savoir si une adresse IP expose une compromission par Winnti. Comme l’explique Hakan Tanriverdi, c’est en l’appliquant aux plages d’adresses IP des entreprises de l’indice DAX que la découverte a eu lieu. Bayer avait en fait laissé un système compromis accessible de manière délibérée pour essayer de piéger les attaquants, espérant qu’ils mordent à cet hameçon. Accessoirement, le travail exploratoire conduit pas nos confrères n’est pas passé inaperçu et a lui-même été détecté par des tiers.
Le maliciel Winnti est loin d’être un inconnu. Kasperky le suit depuis 2011 et évoquait déjà, en 2013, des liens avec la Chine. Début 2017, Microsoft évoquait une utilisation par deux groupes, Barium et Lead. Mais il apparaît en fait difficile d’établir un lien clair et précis entre Winnti et un groupe malveillant en particulier. L’analyse de Microsoft l’illustre bien : Barium viserait notamment le monde du jeu vidéo et Lead, celui de la chimie et de l’industrie pharmaceutique, notamment. Mais voilà, pour certains, Winnti aurait commencé par s’intéresser à la cible de Barium avant de s’en détourner pour se concentrer sur celles de Lead. D’autres noms sont également évoqués, comme Axiom, Mirage, ou encore Wicked Spider.
Ces groupes renverraient toutefois à des acteurs chinois et des liens ne semblent pas à exclure, comme dans une sorte de vaste nébuleuse. Et l’on relèvera au passage que Kaspersky estime que Barium pourrait être à l’origine de l’attaque ayant conduit à la compromission d’ordinateurs portables Asus. Plusieurs experts abondent dans ce sens.