Un virus ne meurt jamais. Et Shamoon rentre dans cette catégorie. Ce malware s’est fait connaître en 2012 pour avoir frappé plusieurs entreprises en Arabie Saoudite, dont l’emblématique Saudi Aramco. A l’époque, 35 000 PC de la firme pétrolière avait vu leur disque dur effacé. En 2016, les chercheurs en sécurité viennent de découvrir une variante de ce malware et qui cible là encore des organisations d’Arabie Saoudite. Petite distinction, une fois le virus activé, il n’affiche plus l’image d’un drapeau américain incendié, mais celle du corps du jeune Alyan Kurdi, réfugié Syrien, retrouvé sur une plage et dont la photo a fait le tour du monde.
Cette variante de Shamoon a été confirmée par les autorités saoudiennes. L’Iran est montré du doigt et les attaques ont visé plusieurs organismes gouvernementaux. Cette évolution du malware, connue sous le nom Disttract, a été aussi détectée par les éditeurs de services de sécurité, dont McAfee, Symantec, Palo Alto Networks et FireEye. Ils n’ont pas réussi à déterminer comment ce virus a pu entrer dans les réseaux des différentes organisations. Mais une fois sur les systèmes Windows des victimes, il décide l’installation d’une version 32 ou 64 bits de sa charge.
Selon Symantec, le malware utilise un logiciel commercial, RawDisk, de l’éditeur EldoS qui donne un accès direct aux disques durs et permet d’écrire des données ou, dans ce cas précis, de les écraser. Un modus operandi déjà vu dans les attaques contre Sony Pictures en 2014. Le malware est capable de modifier l’horloge système du PC pour berner le vérificateur de licence inclus dans le pilote EldoS. « Une méthode pour s’assurer que le module EldoS pour effacer le MBR (Master Boot Record) et le VBR (Volume Boot Record) est valide », précise l’équipe de recherche de FireEye.
La propagation du malware s’effectue via le partage de fichier ou en tentant de se connecter au réseau du partage de fichier. Il désactive les contrôles d’accès des sessions à distance en modifiant le registre de Windows. Il essayer ensuite de se connecter aux réseaux partagés ADMIN$, C$\Windows, D$\Windows et E$\Windows. L’objectif est d’obtenir les privilèges d’administrateurs pour faire le plus de dégâts possibles sur les disques durs. Les chercheurs ont trouvé un lien de communication avec un serveur C&C mais qui n’existait plus.
A lire aussi :
Avec Proteus, le malware tout-en-un débarque
Un nouveau malware téléchargé toutes les 4 secondes
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…