Shamoon : le malware le plus dangereux du monde est revenu

Posté le Sécurité Informatique

Le retour de Shamoon

Une récente série d’attaques impliquant la famille de malware Shamoon a été attribuée au groupe de hackers Iranien APT33. Cette cyberattaque a ciblé le réseau de Saipem, un sous-traitant pétrolier et gazier italien. Le virus a vraisemblablement détruit 10% du parc informatique de la société.

En effet, une équipe de chercheurs en cybersécurité ont déclaré que APT33 – ou un groupe se faisant passer pour eux – est sûrement derrière une récente campagne de cyber-attaques. Celle-ci a ciblé des industriels au Moyen-Orient et en Europe.

Le mois dernier, la présence du malware avait déjà été détectée au Moyen Orient. Mais également en Inde, en Italie et en Écosse.

Antécédents

Shamoon est un des plus dangereux malware qui existe. À l’origine, il fut déployé dans deux incidents qui ciblaient des infrastructures de Saudi Aramco, en 2012 et en 2016. Ces derniers sont les plus gros producteurs de pétrole d’Arabie saoudite.

Durant ces deux incidents, le malware a supprimé tous les fichiers pour les remplacer par des images de propagande. Comme un drapeau américain en feu par exemple. Et la cyberattaque de 2012 fut particulièrement destructrice, puisque Shamoon effaça les data de plus de 30 000 appareils. Ce qui paralysa l’activité de la société pendant des semaines.

La cyberattaque actuelle a également des liens avec Aramco. En effet, Saipem est l’une de ses principaux sous-traitants.

Shamoon nouvelle version

La dernière attaque en date de Shamoon s’est déroulée début décembre 2018, le week-end du 8 et du 9. L’entreprise a publiquement reconnu l’incident dans un communiqué de presse. Néanmoins, elle n’a fourni aucune information utile.

Sur ce même week-end, une version encore jamais vue du malware a été téléchargée sur VirusTotal. L’adresse IP a été localisée en Italie, où sont également installés les quartiers généraux de Saipem. Et d’autres échantillons du virus ont été téléchargés le jour suivant depuis une adresse IP indienne. Une autre région où Saipem est implanté.

Même si le malware a pour habitude d’effacer et remplacer les data de sa cible, cette fois les hackers ont décidé de les crypter. Enfin presque. En réalité, cette nouvelle variante de Shamoon écrase les fichiers originaux avec des données corrompues. Ainsi, celles-ci peuvent ressembler à des data cryptées. Mais ce sont des bribes d’informations aléatoires qui ne peuvent pas être décryptées avec une clé.

Malgré cette nouvelle, l’infection du virus ne semble pas avoir causé trop de dégâts aux activités de Saipem. Seuls quelques postes de travails ont été touchés, et pas le système interne contrôlant les équipements de contrôle industriel. D’ailleurs, Saipem a déjà retrouvé la majorité de ses informations perdues, grâce à ses systèmes de back-up.

Point d’entrée

Les anciennes versions de Shamoon sont connues pour être codées en dur avec une liste de coordonnées SMB (Server Message Block). Et le malware s’en sert ensuite pour se répandre tout seul sur un réseau. Néanmoins, cette nouvelle version du virus n’a pas utilisé cette liste de coordonnées SMB pour se propager.

Ainsi, les équipes de cybersécurité de Saipem sont entrain d’enquêter sur le RDP (Remote Desktop Protocol) comme point d’entrée du malware sur le réseau de la société.

Ainsi, le scénario qui se profile serait celui d’un déploiement manuel sur le réseau. Avec le hacker présent physiquement, et rodant autour du réseau de la société. À l’inverse du malware ayant été libéré via un email phishing, et qui se serait déployé tout seul.

Partagez cet article !