Certains malwares ne veulent que la destruction !

Pour résumer les explications de Costin Raiu, directeur de la recherche chez Kaspersky Lab, la grande majorité des fichiers malveillants sont ce qu’il appelle des « crimewares » : des programmes informatiques déployés par les cybercriminels afin de gagner de l’argent en volant des identifiants, des données, des ressources ou même directement de l’argent. La deuxième catégorie de logiciels malveillants la plus importante est conçue exclusivement pour le cyber-espionnage et est utilisée par une variété de menaces avancées – ces malwares sont souvent financés par des gouvernements, des entreprises ou de riches individus. Enfin, il existe une troisième catégorie, bien plus réduite, celle des malwares purement destructifs – parfois appelés des « wipers ».

Les premiers malwares étaient presque tous destructeurs par nature. À la fin des années 90, Internet n’était pas l’immense espace de stockage de données de valeur qu’il est aujourd’hui. De plus, les criminels organisés n’avaient pas encore réalisé la valeur financière des données qui leur étaient, à l’époque, faciles d’accès. C’est pourquoi les premiers pirates ont conçu des malwares qui chiffraient les disques durs ou qui détruisaient les machines à partir d’autres techniques. L’argent n’était donc pas un élément déterminant pour les développeurs de malwares.

Les malwares destructeurs comme les « wipers » n’ont jamais vraiment disparu, mais ils sont définitivement revenus avec les attaques de « nation contre nation » et de « nation contre entreprise ». D’ailleurs, ces trois dernières années, nos amis de Securelist ont examiné pas moins de 5 types d’attaque de « wipers ».

La première, appelée Wiper, était tellement efficace qu’elle a même réussi à s’effacer elle-même des ordinateurs iraniens qu’elle aurait infectés ! À cause de cela, personne n’a pu examiner Wiper. En comparaison à d’autres malwares destructeurs, cette menace est relativement récente et il semble qu’elle cible des machines au hasard. Wiper est néanmoins importante car elle a surement inspiré les malwares suivants.

Shamoon en particulier viendrait de ce mystérieux Wiper. Ce virus destructeur a trouvé son chemin sur les réseaux de ce que l’on pourrait certainement considérer comme l’une des entreprises les plus importantes au monde et comme le plus gros producteur de pétrole au monde, Saudi Aramco. Shamoon a détruit plus de 30 000 postes de la compagnie de pétrole saoudienne en août 2012. Le malware qui, d’après certains, aurait vu le jour en Iran (même si un groupe de pirates a revendiqué l’attaque), n’a pas réussi à s’effacer comme Wiper l’avait fait avant lui. Les chercheurs ont donc mis la main sur Shamoon afin d’analyser ses techniques d’attaques.

On trouve ensuite Narilam, un malware qui semble cibler les bases de données de certaines applications financières utilisées exclusivement en Iran. Narilam est différent des autres car il agit lentement et est conçu pour agir à long terme. Kaspersky Lab a identifié différentes versions de Narilam, certaines remontant à 2008. Bien que Narilam et d’autres menaces similaires agissent lentement, elles peuvent être très destructrices.

Ce fut également le cas du malware Groovemonitor (aussi connu comme Maya). Il a été détecté par l’équipe d’urgence informatique iranienne en 2012 et avait alors été baptisé « Maher ». C’est une menace plutôt simple qui attaque ses victimes franchement. En gros, Groovemonitor détermine une période de temps entre deux dates :  il tentera ensuite de supprimer tous les fichiers situés entre ses deux dates et ce, sur tous les disques durs de la machine.

La menace la plus récente, Dark Seoul, a été utilisée pour coordonner plusieurs attaques ciblant des banques et des compagnies de diffusion à Séoul en Corée du Sud. Cette attaque était différente des précédentes car elle ne semblait pas impliquer l’Iran ou l’Arabie Saoudite et elle était incroyablement évidente, ce qui suggère que les pirates cherchaient à se faire remarquer.

« Le pouvoir d’effacer des dizaines de milliers d’ordinateurs en appuyant juste sur un bouton représente un avantage de taille pour n’importe quelle armée cybernétique », a écrit Raiu dans un rapport de Securelist. « Cela peut être encore plus dangereux quand cela s’ajoute à une attaque cinétique qui a pour but de paralyser l’infrastructure d’un pays. »

Les « wipers » restent une menace relativement peu commune : vous n’avez donc pas à vous en inquiéter pour le moment. Après tout, les utilisateurs Internet ne peuvent pas faire grand chose pour protéger leur fournisseur d’eau ou d’électricité contre un malware qui pourrait prendre le contrôle de leurs données ou même des systèmes de contrôle industriel (comme les logiciels qui contrôles les réseaux électriques, etc.). Il s’agit de menaces qui doivent être surveillées par des entreprises expertes en sécurité et par les dirigeants des infrastructures critiques elles-mêmes ainsi que par les gouvernements.

La bonne nouvelle pour les utilisateurs américains est que le Congrès va bientôt passer une loi afin de protéger ces infrastructures critiques. Des efforts similaires sont également en marche dans un certain nombre de pays à travers le globe.