Virus : les pieds nickelés attaquent AREVA ?

Kaspersky lance son propre OS sécurisé



Le 11 septembre dernier, l’éditeur antivirus Norman a publié sur son blog l’analyse croustillante d’un malware tombé dans ses filets. Il s’agit d’une souche de Dark Comet, le RAT bien connu et déjà utilisé en Syrie, packagé dans un programme d’installation particulièrement volumineux (30 mo).

A l’exécution, ce programme ouvre un PDF, inclus dans le paquet, qui contient ce qui ressemble à un e-mail interne d’AREVA NC adressé à ses salariés de la centrale de La Hague ; c’est l’élément qui fait dire au chercheur Snorre Fagerland que la cible de l’attaque était probablement AREVA. En effet, soit cet e-mail servait de prétexte pour inciter un ou plusieurs salariés à ouvrir le virus ; soit cet e-mail servait à usurper l’identité d’AREVA pour attaquer une autre cible. Dans les deux cas, AREVA est une victime, directe ou colatérale.

A côté de cela, d’autres choses sont extraites du package d’installation :

  • un exécutable Dark Comet totalement inoffensif, puisque (1) il n’est jamais exécuté ni placé en démarrage automatique sur le système compromis, et (2) suit de toutes façons des paramètres de configuration erronés, conformes à ceux distribués pour l’exemple (adresse du C&C = 127.0.0.1) ;
  • un fichier de bibliothèque iTunes totalement vide ;
  • et surtout, dix photos de famille totalement anodines, dont l’analyse des métadonnées n’a rien donné de probant.


Résumons : un malware qui ne marche pas… Des fichiers visiblement à caractère personnel… L’hypothèse de Snorre Fagerland est cocasse : le pirate aurait créé un package d’installation à partir du contenu complet du répertoire dans lequel se trouvait son malware, et y aurait malencontreusement inclus ses propres photos de famille et bibliothèque iTunes !

Un deuxième aspect de l’histoire est passé sous silence. Je pars du principe que l’article blog de Norman a été probablement publié en accord avec les autorités françaises et avec AREVA (qui auraient été notifiés le 22 juin dernier — coïncidence, 7 jours plus tard, le développeur de Dark Comet suspendait ses travaux sur le RAT). Il n’en reste pas moins une question : pourquoi un analyste de chez Norman a-t-il eu connaissance de ce malware ?

Le malware a été capté et analysé par le système Malware Analyzer G2 de Norman, conçu pour analyser à la chaîne des fichiers dans un environnement de test et en tirer une analyse rapide pour établir un diagnostic sur leur dangerosité. C’est un système qui doit être approvisionné, manuellement ou automatiquement, en fichiers à analyser ; or, cet outil est conçu pour s’interfacer avec des flux de données provenant directement de partenaires et clients. Donc deux hypothèses principales :

  1. soit ce fichier a été transmis directement à Norman, par exemple via leur service gratuit d’analyse en ligne ;
  2. soit ce fichier a été obtenu par le biais d’un partenaire. Il existe en effet une constellation de petites sociétés anti-malware dont le  rôle est de collecter des virus en masse sur Internet, afin de revendre ce flux aux éditeurs antivirus. C’est par exemple le cas de la société VirusTotal, qui revend à ses clients les binaires soumis à l’analyse via son site web (sachant que cette activité sera peut-être remise en cause par son rachat par Google).

Dans les deux cas, partons du principe que c’est la cible de l’attaque qui a soumis ce fichier pour lever le doute sur son caractère malveillant (ce n’est peut-être pas le cas !). C’est une démarche plutôt risquée, puisque cela revient à dévoiler à un acteur tiers que l’on a été victime d’une attaque ciblée. Et le post blog de Norman l’illustre parfaitement : derrière ces outils d’analyse automatique, il y a parfois des yeux indiscrets, qui passent en revue les documents soumis ; mais aussi, tout un commerce réalisé autour de ces échantillons de malwares. Concrètement, soumettre un document à un outil gratuit d’analyse en ligne résulte bien souvent en une diffusion de ce document à la terre entière, le fichier pouvant ensuite se retrouver chez la plupart des éditeurs antivirus de la planète, voire transmis à leurs partenaires et clients. Dans un cas de suspicion d’attaque ciblée, utiliser une plateforme d’analyse en ligne a potentiellement le même effet que de diffuser un communiqué de presse pour avouer que l’on a été attaqué. Et on s’expose à des posts blogs comme celui de Norman, pas forcément rassurants en cette période de débat public sur la sûreté du nucléaire français (rien à voir cependant avec l’affaire révélée l’an dernier par l’Expansion…).

Je recommande donc chaudement de s’entourer de toutes les précautions nécessaires lors de l’analyse d’un code malveillant potentiel : soit réaliser cette analyse 100% en interne si l’on en a les moyens ; soit mandater un prestataire et bien cadrer la prestation par un NDA. Mais dans tous les cas, d’éviter pour des cas sensibles les outils gratuits d’analyse en ligne que l’on trouve sur Internet, qui sont incompatibles avec des contraintes de confidentialité.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.