Discussion :

[Amine Horseman]

La trace retrouvée de l'attaque contre Kaspersky
Il s’agirait du même organisme qui a créé Stuxnet et Duqu

Après la découverte de Duqu en 2011 ainsi que Stuxnet, deux malwares qui avaient été utilisés pour espionner et saboter les usines nucléaires de l’Iran, les créateurs du célèbre programme malveillant frappent de nouveau avec un autre malware et de nouvelles cibles. En effet, selon un rapport publié par le groupe de sécurité Kaspersky Labs, leurs serveurs ont été infectés depuis plusieurs mois par un malware furtif extrêmement persistant, et dont le but est de voler des informations tout en gardant un profil bas pour masquer sa présence. Baptisé Duqu 2.0, « ce virus réside uniquement dans la mémoire volatile de l’ordinateur sans fichiers écrits sur le disque », déclare les chercheurs de Symantec qui avaient publié une autre analyse juste après le rapport publié hier par Kaspersky.

Selon Symantec, ce malware se décline en deux variantes. La première est un backdoor de base qui semble être utilisé pour assurer la persistance à l'intérieur de l'entité ciblée en infectant plusieurs ordinateurs. La seconde variante est plus complexe : elle a la même structure que la première, mais contient plusieurs modules pour assurer la collecte d'informations sur l'ordinateur infecté, le vol de données, la découverte du réseau, l'infection par le réseau et la communication avec un serveur de contrôle et de commande.

La raison qui pousse les deux groupes de sécurité à pointer les créateurs de Duqu du doigt est que plusieurs similarités ont été découvertes dans le code de ce nouveau malware, incluant la façon dont les messages sur le réseau sont générés, le même formatage d’adresses, la même manière de chiffrer et déchiffrer les fichiers et aussi des parties de code réutilisées telles quelles. Cependant, le responsable de recherche de Kaspersky déclare que ce malware est beaucoup plus sophistiqué et figure parmi la liste des virus les plus évolués que le groupe de sécurité a analysé. Le malware utiliserait des techniques d’infection très difficiles à détecter puisqu’«il ne réside que dans la mémoire volatile de l’ordinateur ». Ceci n’est pas une méthode très populaire chez les hackers puisqu’il est très difficile d’assurer la persistance du virus sur le long terme si ce dernier n’est pas stocké dans le disque dur ou les registres de la machine. En d’autres termes, si l’ordinateur est redémarré, le virus est supprimé. Toutefois, lorsque l’ordinateur est reconnecté au réseau de l’entreprise il sera réinfecté par le même malware résidant dans une autre machine.

« La seule façon de se débarrasser de lui est donc de redémarrer toutes les machines au même moment ou de simuler une panne de courant dans le réseau ». Mais il semblerait que les créateurs de Duqu 2.0 aient déjà prévu une parade à cela. En effet, le malware stockerait quelques rares fichiers sur les serveurs de l’entreprise qui sont directement connectés à internet sous forme de drivers permettant à l’attaquant de ré-infecter le réseau en lui envoyant une « chaine magique ». Celle-ci lancerait une routine permettant de télécharger le programme malveillant de nouveau sur le serveur.

Figure : schéma de fonctionnement du driver de Duqu 2.0

Pour ce qui est du moyen qu’il utilise pour masquer efficacement sa présence, le malware utilise une faille sur Windows pour obtenir les privilèges systèmes, effectuer des opérations en mode administrateur et éviter ainsi la vérification des signatures numériques. Référencée sous le code CVE-2015-2360, cette vulnérabilité aurait permis à Duqu 2.0 d’exécuter du code noyau dans les machines infectées, une technique que les chercheurs de Kaspersky ont dénommé « Zero-day trampoline » car elle permet au virus de sauter directement dans le noyau Windows et d'accéder à la mémoire du système ainsi qu’aux périphériques connectés à la machine. Pour rappel, le terme « Zero Day » dans le domaine de la sécurité informatique décrit une vulnérabilité n’ayant pas encore été publiée ou n’ayant pas encore de correctif.

La faille CVE-2015-2360 a été corrigée dans la mise à jour Windows de mardi dernier, rendant alors le malware inefficace. « Personne ne développe la plateforme d’un malware sur l’hypothèse qu’une faille Zero-Day va marcher indéfiniment, parce qu’elle sera surement découverte et corrigée. Et votre malware ne sera plus opérationnel une fois la faille corrigée », déclare Costin G. Raiu, chercheur en sécurité chez Kaspersky.

Bien que le virus ait infecté les serveurs de Kaspersky depuis plusieurs mois, l’équipe de recherche du groupe de sécurité russe déclare qu’ils avaient détecté la présence du malware en février, soit quelques jours après avoir exposé des détails sur les opérations de cyberattaques à haute échelle de Stuxnet ainsi que des preuves qui les poussaient à croire qu’elle fut commanditée par les agences de surveillance des États-Unis et d’Israël.

Figure : comparaison entre des parties de code de Duqu et Duqu 2.0 qui montrent des similarités (source Symantec)

Les similarités trouvées entre Duqu 2.0, Stuxnet et la première version de Duqu montrent que les créateurs du nouveau malware avaient accès au code source des deux anciens malwares ; « et selon l’emploi du temps des attaquants, il semblerait qu’ils soient géographiquement situés à l’intérieur ou à proximité d’Israël », peut-on lire sur un article paru hier sur Arstechnica. D’autres indices révélés par Kaspersky pointent aussi sur Israël puisque selon leur billet de blog, « les attaquants auraient lancé une attaque similaire sur des cibles en relation avec le 70ème anniversaire de la libération du camp de concentration d’Auschwitz-Birkenau », dont 90 % des victimes étaient juives. Aussi « certaines des infections du nouveau Duqu seraient liées aux évènements et lieux relatifs aux négociations du P5+1 au sujet de l’accord nucléaire avec l’Iran ».

Pour rappel, le groupe des P5+1 inclut les États-Unis, le Royaume-Uni, l’Allemagne, la France, la Russie et la Chine. « Il semble peu probable que les États-Unis aient été directement impliqués dans Duqu, puisque les pays espionnent rarement sur leurs propres négociations diplomatiques », conclut donc un rédacteur d’Arstechnica. Selon Symantec, les attaques auraient également ciblé des opérateurs téléphoniques en Europe et en Afrique du Nord ainsi que des organisations aux États-Unis, en Inde, à Hong Kong, en Suède et au Royaume-Uni.

Ce qui est sûr selon Kaspersky en tout cas, c’est que l’attaque fut parrainée par un état et n’est pas l’œuvre de quelques hackers qui veulent juste prendre du plaisir. « Nous voyons cette bataille ou course à l’armement émerger et impliquer désormais une sorte de confrontation entre l'industrie de la sécurité et des espions sponsorisés par des états », déclare Vitaly Kamluk, responsable de sécurité chez Kaspersky. « La décision de cibler une entreprise de sécurité de classe mondiale doit être assez difficile », selon son équipe, « cibler des entreprises de sécurité indique que soit, ils [les attaquants] sont très confiants dans le fait qu'ils ne seront pas pris, soit ils ne se soucient pas du fait d’être découverts et exposés ».

Source : Kaspersky Secure List, Symantec, Arstechnica

Et vous ?

Que pensez-vous de cette attaque sur Kaspersky Labs et de la méthode d’infection utilisée par le malware ?
La guerre est-elle déclarée entre les organismes de sécurité et les agences d’espionnage gouvernementales ?

[Invité]

Très bon article ! Une actualité complète très instructive !

[kanadianDri3]

Merci pour cette news très fournie en information !
Incroyable comment ces experts sont capables de remonter les pistes comme ça

[Traroth2]

Donc les Etats-Unis ou Israël ont organisé une cyber-attaque contre Kaspersky. Intéressant...

Je me demande ce qu'ils diraient si les Russes attaquaient Symantec, par exemple...

[yayadev]

Bonjour,
Pouvez-vous m'éclaircir un point, les données collectées sont envoyées depuis le réseau vers un un autre serveur, donc c'est facile de détecter ce genre d'intrusion ?? Merci.

[philou44300]

Bonjour,
Comment est-ce possible de charger un malware en mémoire sans fichier ni entrée dans la base de registre? La mémoire volatile c'est bien la RAM? A un moment il doit bien y avoir quelque chose qui va faire qu'un code va être exécuté pour que le virus se retouve en mémoire non? En gros comment ce genre de malware fonctionne car je ne comprend pas bien? O_o

[Lordsephiroth]

Bonjour,
Comment est-ce possible de charger un malware en mémoire sans fichier ni entrée dans la base de registre? La mémoire volatile c'est bien la RAM? A un moment il doit bien y avoir quelque chose qui va faire qu'un code va être exécuté pour que le virus se retouve en mémoire non? En gros comment ce genre de malware fonctionne car je ne comprend pas bien? O_o

Il y a divers moyen de mettre des choses en mémoire sans passer par des fichiers. Entre autre, le fameux "buffer overflow" (mais dans le cas de Duqu 2.0 c'est probablement une technique nettement plus sophistiquée). Et il est possible de faire ce genre d'attaques directement par le réseau (généralement en utilisant une vulnérabilité d'un logiciel tournant sur la machine cible, comme les serveurs web, les serveurs de bases de données ou tout autre programme permettant un accès depuis l'extérieur). Comme c'est précisé dans l'article, le morceau de code malicieusement placé en mémoire va disparaître au redémarrage de la machine.

[benjani13]

Bonjour,
Pouvez-vous m'éclaircir un point, les données collectées sont envoyées depuis le réseau vers un un autre serveur, donc c'est facile de détecter ce genre d'intrusion ?? Merci.

C'est très difficile. Comment distinguer un flux légitime d'un flux qui ne l'est pas? De plus les malware avancés mettent en place des techniques pour essayer d'esquiver les IDS (par exemple en cachant l'information dans du trafic HTTP banal). On peut vérifier l'adresse de destination (l'adresse du C&C), mais celle ci n'est peut être pas encore connue et donc pas encore blacklisté. Mais là encore un malware peut utiliser de nombreux serveurs afin de limiter le blacklistage.

Bonjour,
Comment est-ce possible de charger un malware en mémoire sans fichier ni entrée dans la base de registre? La mémoire volatile c'est bien la RAM? A un moment il doit bien y avoir quelque chose qui va faire qu'un code va être exécuté pour que le virus se retouve en mémoire non? En gros comment ce genre de malware fonctionne car je ne comprend pas bien? O_o

On peut imaginer plusieurs choses. Un executable envoyé par pièce jointe, tu fais pas gaffe tu le lance, le prog est chargé, l’exécutable supprimé. Ou bien en passant par un programme vulnérable déjà en exécution. Par exemple un service qui tourne sur une machine, ou un navigateur web qui visite un mauvais site (site contenant du code malveillant). Une fois que tu as la main sur le programme/service, tu peux exécuter ton propre code. Donc tu peux par exemple lancer un autre processus, dans lequel tu injecte le code du virus. Le virus ne réside donc qu'en mémoire.

Pour persister, ce stuxnet 2.0 infecte les autres machines du réseau, comme ça si une machine est redémarrée elle sera de nouveau infecté par une autre machine.

[philou44300]

Merci pour vos explications . C'est déjà plus clair mais j'ai une quesion sur la réponse de Lordsephiroth: qu'est-ce que le "buffer overflow"? J'en ai déjà entendu parlé comme quoi c'est du dépassement tampon mais comment on peut arriver à un tel état?

[Invité]

Un exemple simple en C: utiliser strcpy() pour copier 50 caractères dans un char[15] . Dépassement de l'espace mémoire alloué.

EDIT : Un Chouette exemple : http://nicolasj.developpez.com/articles/pieges/#LII

[abriotde]

Simplement le buffer-over-flow c'est quand on prévoit un espace mémoire et que l'on entre dedans une chaine qui va dépasser la taille maximale. La chaine va donc arriver quelques part en mémoire. Le but du hacker est de savoir ou et il alors pouvoir écrire la ou il n'a normalement pas le droit pour installer son programme. Théoriquement c'est très simple a éviter mais en pratique il y de très nombreux endroits ou cela peut arriver y compris dans du code que l'on a pas écris mais que l'on utilise mal.