Les temps sont durs pour la sécurité. Des pirates s’attaquent à …
Les temps sont durs pour la sécurité. Des pirates s’attaquent à des entreprises chimiques, et le virus Duqu (de type Stuxnet) abuse d’un point faible du noyau Windows de Microsoft.
Selon le spécialiste de la sécurité Symantec, des pirates ont attaqué depuis avril de cette année successivement des ONG et des entreprises des secteurs de l’automobile et de la chimie. Ce dernier secteur a constitué de fin juillet à la mi-septembre la cible privilégiée dans le cadre de ce qu’on appelle la campagne ‘Nitro’ Symantec. Concrètement, les entreprises chimiques sont assaillies par un certain nombre de courriels très ciblés (demandes de rendez-vous provenant de personnes connues dans l’entreprise cible, ou requêtes de mises à jour sécuritaires), auxquels sont joints des documents contaminés. L’élément ‘actif’ dans ces documents est un ancien ‘remote access tool’ (outil d’accès à distance) chinois, Poison Ivy, qui rapatrie à son tour du maliciel complémentaire. Avec l’aide de ce malware, des informations sont dérobées, comme des comptes de gestion et de la propriété intellectuelle.
En tout, 29 entreprises chimiques ont été attaquées, dont de grandes sociétés figurant dans le Fortune 100 et menant des recherches sur de nouveaux matériaux ou des fabricants d’infrastructures de production chimique. Selon Symantec, l’une de ces entreprises était basée en Belgique (“country of origin”)…
Actualisation de Duqu Symantec annonce aussi que pour le virus Duqu, un ‘installer’ a à présent été trouvé. L’entreprise de sécurité hongroise CrySyS – celle-là même qui a découvert les ‘Duqu binaries’ – a trouvé un document Word contenant un ‘exploit’ qui abusait d’un point faible encore inconnu dans le noyau Windows. L’ouverture du document déclenchait l’exploit, ce qui mettait en branle la chaîne d’activation de Duqu. Dans ce cas aussi, le document était diffusé de manière extrêmement ciblée à des personnes dans les entreprises agressées.
Le virus Duqu crée pas mal de soucis, car il affiche de fortes ressemblances avec Stuxnet, le malware qui avait attaqué des installations d’automatisation industrielle. L’on soupçonne que Duqu ait été créé par la même équipe que celle qui a engendré Stuxnet (ou du moins qui aurait transmis le code source de Stuxnet aux auteurs de Duqu). Vu le danger que Stuxnet et d’éventuels dérivés représentent pour les infrastructures d’utilité publique et les entreprises, ce maliciel est étudié en profondeur. C’est ainsi que l”installer’ déniché de Duqu ne serait assurément pas le seul à circuler. Pour ce qui est de l”exploit’ du noyau de Windows, l’on prépare une parade chez Microsoft.
Symantec a publié un document sur Nitro, ainsi qu’une mise à jour relative à Duqu.
