IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

un malware efface les disques durs en les forçant à rebooter, en Corée du Sud


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 383
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 383
    Points : 196 422
    Points
    196 422
    Par défaut un malware efface les disques durs en les forçant à rebooter, en Corée du Sud
    Un malware efface les disques durs en les forçant à rebooter, en Corée du Sud :
    une nouvelle attaque secrète ?

    Les cabinets de sécurité Symantec, Avast et McAfee viennent de découvrir une nouvelle vague de programmes malveillants utilisés pour des cyberattaques vers des banques et d'autres organismes sud-coréens.

    Les malwares sont identifiés par les noms Trojan.Jokra et Ws.Reputation.1. Après installation, ceux-ci créent un objet de mappage de fichiers pour se référencer en utilisant le nom : JO840112-CRAS8468-11150923-PCI8273V. Ensuite, ils arrêtent les deux processus liés aux fournisseurs locaux d’antivirus, notamment pasvc.exe et clisvc.exe.

    Un listing de tous les lecteurs est effectué par ceux-ci avant le début d’une opération visant à écraser le Master Boot Record et toutes les données stockées en y écrivant la chaîne ‘PRINCIPES’ ou ‘HASTATI.’. Ce qui aurait pour effet d’effacer le contenu du disque dur en entier.

    Les malwares obligent enfin l’ordinateur à redémarrer en exécutant ‘shutdown -r -t 0’, ce qui rend l’ordinateur inutilisable puisque la zone d’amorçage et le contenu du (des) disque(s) sont maintenant manquants.

    « L'attaque a aussi écrasé des parties aléatoires du système de fichiers avec les mêmes chaînes de caractères, ce qui rend plusieurs fichiers irrécupérables », expliquent Jorge Arias et Guilherme Venere, deux analystes de logiciels malveillants de McAfee. « Donc, même si le MBR est restauré, les fichiers sur le disque seront aussi corrompus. »

    Le malware tente également de fermer deux autres produits antivirus sud-coréens déployés par les entreprises AhnLab et Hauri. Une autre composante, un script shell bash, tente d'effacer les partitions systèmes Unix, y compris Linux et HP-UX.

    Avast a écrit sur son blog que les attaques contre les banques sud-coréennes provenaient du site web du Korean Software Property Right Council. Pour lui, le site a été piraté et intègre un iframe qui délivre une attaque hébergée sur un autre site.

    Selon Avast, le code d'attaque exploite une vulnérabilité d’IE datant de juillet 2012, bien qu’elle ait été corrigée par Microsoft.

    La purge du disque n’est pas une nouveauté puisqu’en août 2012, le malware W32.Disttrack avait lui aussi causé des dommages similaires.

    Ces attaques ne sont pas revendiquées, mais une montée en puissance de tensions politiques dans la péninsule coréenne est observée.

    Source : blog Symantec , blog McAfee , blog Avast

    Et vous ?

    D’après votre analyse, quelles pourraient en être les motivations ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre à l'essai
    Femme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Avril 2012
    Messages : 5
    Points : 15
    Points
    15
    Par défaut
    Les motivations pourront être créer un besoin chez ces organismes envers un nouveau produit , qui sait
    la logique du capitalisme , vous créer des besoins afin de vendre

  3. #3
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Ces attaques ne sont pas revendiquées, mais une montée en puissance de tensions politiques dans la péninsule coréenne est observée.
    Pourquoi viser la Corée? (et indirectement de surcroit)
    D'ailleurs pourquoi pas une organisation non-gouvernementale?
    Il n'y a pas que en Corée qu'une Guerre peux arriver en ce moment et comme vous le dites ces attaques ne sont pas revendiquées.

    Cet article lance une ouverture sans queue ni tete.

    D’après votre analyse, quelles pourraient en être les motivations ?
    Et comment donc pourrait-on le savoir justement?

  4. #4
    Membre régulier
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2012
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2012
    Messages : 23
    Points : 107
    Points
    107
    Par défaut
    Je suis pas un pro de la sécurité informatique mais je suis surpris que l'on puisse désactiver un A/V en tuant son processus (de mémoire Sophos ne le permet pas).

    Quant à la motivation derrière c'est signé la Corée Du Nord : c'est les seuls qui utilisent des virus destructeurs. Tous les autres essayent de récupérer des infos.

  5. #5
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    Citation Envoyé par AppMaestro Voir le message
    Quant à la motivation derrière c'est signé la Corée Du Nord : c'est les seuls qui utilisent des virus destructeurs. Tous les autres essayent de récupérer des infos.
    Sait-tu ce que la Russie a fait il y a 2 semaines? Il faut croire qu'on n'a pas tous la meme carte du Monde et les memes actualités

  6. #6
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 383
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 383
    Points : 196 422
    Points
    196 422
    Par défaut McAfee dévoile l'Opération Troy
    McAfee dévoile l'Opération Troy,
    une vaste campagne d'espionnage militaire menée contre la Corée du Sud depuis 2009

    Mise à jour du 09/07/2013

    Un rapport publié par McAfee explique que les cyberattaques dont ont été victimes certains organismes sud coréens en mars dernier (voir dossier complet de la rédaction) sont en réalité l'aboutissement d'une opération secrète à long terme baptisée Opération Troy.

    Depuis 2009 déjà, les attaquants se sont essayés à s'approprier des documents avec des mots-clés comme « armée américaine », « arme » ou « défense » grâce à un « réseau d'espionnage militaire sophistiqué » utilisant des malwares pour localiser et voler les documents explique McAfee.

    « Nous avons déterminé qu'un seul groupe a été à l'origine d'une série d'attaques ayant pris pour cible la Corée du Sud depuis octobre 2009. Dans ce cas, l'adversaire a conçu un réseau crypté sophistiqué pour recueillir des renseignements sur les réseaux militaires. » explique l'entreprise.

    Selon McAfee, le réseau avait été conçu pour camoufler les communications entre les systèmes infectés par les Trojan et les serveurs de contrôle via l'API Microsoft Cryptography utilisant un chiffrement RSA de 128 bits. « Toute donnée extraite d'un réseau militaire serait ensuite transmise à ce réseau crypté une fois que le malware aurait identifié une information. Ce qui rend ce cas particulièrement intéressant est l'utilisation d'outils de reconnaissance automatique pour identifier des informations militaires spécifiques dans les systèmes internes avant la récupération d'un fichier. »

    En plus des fichiers qu'ils volent, les malwares utilisés par les hackers avaient aussi la possibilité de détruire les systèmes « de la même manière que les attaques du 20 mars 2013 ont paralysé des milliers de système en Corée du Sud » selon le rapport. Ce qui pourrait avoir des conséquences sans précédent pour les réseaux militaires sud coréens.

    McAfee a découvert que le code du malware initial utilisé pour mener ces attaques a été compilé pour cibler spécifiquement la Corée du Sud et a connu de nombreuses améliorations depuis sa création.

    Source : rapport McAfee (au format PDF)

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  7. #7
    Membre à l'essai
    Profil pro
    Inscrit en
    Mai 2010
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2010
    Messages : 7
    Points : 13
    Points
    13
    Par défaut
    "Qu'en pensez-vous ?"
    Que Microsoft reste le leader en matière d'outil d'infiltration pour la NSA et consorts

  8. #8
    Membre éprouvé Avatar de jmnicolas
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2007
    Messages
    427
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Transports

    Informations forums :
    Inscription : Juin 2007
    Messages : 427
    Points : 976
    Points
    976
    Par défaut
    Soyons sérieux 2 minutes : la NSA est bien plus discrète que ça quand elle espionne ses alliés.

    Le coupable tout trouvé est la Corée du Nord.

    Ou alors c'est une manœuvre des US pour empêcher un rapprochement des 2 Corées en rejetant le blâme sur le nord.

    Toutefois quand on voit le comportement du nord, la solution la plus simple semble la plus probable.
    The greatest shortcoming of the human race is our inability to understand the exponential function. Albert A. Bartlett

    La plus grande lacune de la race humaine c'est notre incapacité à comprendre la fonction exponentielle.

  9. #9
    Membre éprouvé Avatar de leminipouce
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2004
    Messages
    754
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : Janvier 2004
    Messages : 754
    Points : 1 253
    Points
    1 253
    Par défaut
    Je suis bien d'accord avec "jmnicolas". C'est d'un grossier à toute épreuve. Et l'article en ne relatant que 3 mots-clés incluant "armée américaine" dans le climat actuel d'espionnage de PRISM et compagnie attise une certaine américanophobie voire une haine de l'américain qui se justifie difficilement dans ce cas je trouve.

    Je veux bien qu'on blâme les américains pour PRISM, mais de là à leur faire porter le chapeau pour tout et n'importe quoi...
    1. la France a elle aussi son réseau d'espionnage, très similaire à PRISM,
    2. tout un tas d'autres pays utilise les mêmes mécanismes,
    3. la Corée du Sud est un partenaire et un allié (entre autre militaire) américain de longue date,
    4. les US n'ont aucun intérêt à se mettre à mal avec la Corée du Sud,
    5. jouer à faire porter le chapeau au Nord est très risqué. De nombreux bâtiments américains se trouvent en mer de Corée du Sud et sur le territoire du Sud...
    Si , et la ont échoué mais pas nous, pensez à dire et cliquez sur . Merci !

    Ici, c'est un forum, pas une foire. Il y a de respectables règles... à respecter !

  10. #10
    Membre éclairé
    Profil pro
    Inscrit en
    Novembre 2005
    Messages
    328
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2005
    Messages : 328
    Points : 695
    Points
    695
    Par défaut
    Il faut savoir que les US revoient leur stratégie et commencent à songer sérieusement à l'Asie et tentent d'implanter des bases militaires un peu partout autour de la Chine.
    Lire "Manière de voir : Où va l'Amérique" (Cap sur le Pacifique - Michael T. Klare).

Discussions similaires

  1. Lister les disques durs USB, les clés ainsi que les appareils photos
    Par infosam76 dans le forum VB 6 et antérieur
    Réponses: 17
    Dernier message: 26/02/2015, 00h26
  2. Réponses: 8
    Dernier message: 28/09/2006, 10h35
  3. problème avec les disques durs
    Par projetM dans le forum Composants
    Réponses: 9
    Dernier message: 14/08/2006, 12h05
  4. [PC Cloner Expert] - Cloner Expert ne détecte pas les disques durs
    Par Lorponos dans le forum Autres Logiciels
    Réponses: 3
    Dernier message: 19/07/2006, 13h06
  5. Comment connaitre les disques dur d'une machine dans un code ?
    Par GeekettePower dans le forum Langage
    Réponses: 3
    Dernier message: 27/06/2006, 01h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo