Alert : Le virus Shamoon cible le secteur énergétique

[invite1dd9944a]

Le nouveau virus Shamoon illustre une fois de plus la progression des attaques visant de ‘nouvelles’ cibles.

Le virus Shamoon (ou Disttrack) semble écraser des fichiers dans les PC Windows, puis les ‘master boot records’. Il en résulte que ces fichiers ne peuvent être récupérés. Or le PC ne peut être redémarré sans qu’ils soient réinstallés. Après l’infection, des modules qui s’appellent respectivement ‘wiper’ et ‘reporter’, entrent en action. Le premier se charge d’effacer les fichiers et le second fait rapport au sein du même réseau à un autre système dont les fichiers ont été également touchés. C’est en particulier l’appellation du module ‘wiper’ qui a suscité l’inquiétude, car elle aurait pu indiquer un lien avec la famille Stuxnet/Duqu/Flame de maliciels (malware) sophistiqués. Après analyse, il est apparu que ce n’était pas le cas. Il semble ici que les ‘scriptkiddies se soient inspirés du tintouin engendré par ‘wiper’. Le malware a été examiné par Symantec, puis aussi par Kaspersky Lab.

‘Nouvelles’ cibles
Comme le fonctionnement du virus n’est pas particulièrement subtil et qu’il n’est pas non plus certain que des données soient divulguées au monde extérieur (l’on suggère qu’il s’agirait d’une attaque ‘en deux temps’), l’on ne connaît pas non plus clairement l’utilité et le but de ce genre d’attaque. Il pourrait s’agir d’une attaque perpétrée tout aussi bien par quelques ados en manque de sensations que par un concurrent ou quelqu’un d’autre encore, selon l’opinion générale. Le malware n’a été détecté du reste que sur un très petit nombre de machines.

Il n’empêche que le nouveau maliciel a aussitôt retenu beaucoup d’attention, parce qu’il était question d’une attaque “visant une seule organisation dans le secteur de l’énergie”, selon Symantec. En outre, l’on a relevé dans le code une référence à l’‘Arabian Gulf’, ce qui pourrait laisser penser à l’agitation numérique au Moyen-Orient, où se trouverait l’épicentre de la guerre numérique, à en croire Kaspersky Lab.

Ce qui est préoccupant, c’est que Shamoon est un nouvel exemple dont non seulement des cibles ‘classiques’ comme les banques et les pouvoirs publics sont visées aujourd’hui, mais aussi toute entreprise importante pour l’infrastructure cruciale d’un pays. Peu importe finalement dans ce cas si Sahmoon est l’œuvre de ce qu’on appelle des ‘scriptkiddies’ (littéralement des gamins à script) ou un acte de guerre numérique lancé par un pays ennemi - les deux extrêmes du spectre. Le manque permanent de protection dans de nombreuses entreprises et en particulier dans les départements qui étaient dans le passé considérés comme immunisés contre les attaques extérieures, est également mis largement en exergue à une échelle manifestement limitée comme Shamoon
-----

[yoda1234]

Merci pour l'info, voici quelques précisions: http://infomars.fr/forum/index.php?showtopic=4418

[JPL]

Le manque permanent de protection dans de nombreuses entreprises et en particulier dans les départements qui étaient dans le passé considérés comme immunisés contre les attaques extérieures, est également mis largement en exergue à une échelle manifestement limitée comme Shamoon

Il y a une attitude très générale des responsables informatiques dans les entreprises : on ne touche pas à ce qui marche ! Conclusion ils n'installent pas les mises à jour de Windows ni celles des logiciels connus : c'est comme ça que l'internet s'est pratiquement écroulé le 25 janvier 2003 à cause d'un virus (Slammer = Saphirre) de 376 octets (!) exploitant une faille de SQL Server pour laquelle existait pourtant depuis plusieurs mois un correctif. Donc ce sont les systèmes des entreprises qui offrent souvent les failles les plus béantes.