{"id":6780,"date":"2017-03-08T16:07:58","date_gmt":"2017-03-08T16:07:58","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=6780"},"modified":"2017-03-17T12:15:15","modified_gmt":"2017-03-17T12:15:15","slug":"stonedrill-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/stonedrill-malware\/6780\/","title":{"rendered":"StoneDrill : D\u00e9couverte d’un nouveau malware puissant nettoyeur de disque dur, et c’est du s\u00e9rieux."},"content":{"rendered":"

Si vous \u00eates un lecteur r\u00e9gulier de mon blog, vous conna\u00eetrez s\u00fbrement notre \u00c9quipe internationale de recherche et d\u2019analyse<\/a> (GReAT), 40 excellents experts \u00e9parpill\u00e9s \u00e0 travers le monde, sp\u00e9cialis\u00e9s dans la protection de nos clients contre les cybermenaces les plus sophistiqu\u00e9es. Ces experts aiment comparer leur travail \u00e0 de la pal\u00e9ontologie\u00a0<\/a>: en explorant le web dans ses moindres recoins, \u00e0 l\u2019aff\u00fbt des \u00ab\u00a0os\u00a0\u00a0\u00bb des \u00ab\u00a0cybermonstres\u00a0\u00bb. Certains pourraient consid\u00e9rer cela comme une approche d\u00e9su\u00e8te\u00a0: qui y\u2019a-t-il d\u2019aussi sp\u00e9cial \u00e0 propos de l\u2019analyse des os des \u00ab\u00a0cr\u00e9atures\u00a0\u00bb d\u00e9coulant d\u2019un pass\u00e9 lointain lorsque la protection de vos r\u00e9seaux contre les monstres qui sont vivants s\u2019av\u00e8re \u00eatre une cl\u00e9\u00a0? Eh bien, voici une r\u00e9cente histoire qui prouve que parfois vous ne trouverez pas les monstres vivants d\u2019aujourd\u2019hui sans vous pencher sur les anciens\u2026.<\/p>\n

Certains d\u2019entre vous sauront ce que sont les soi-disant nettoyeurs de disque dur<\/a>, un type de malware qui, une fois install\u00e9 sur un PC infect\u00e9, efface compl\u00e9tement toutes les donn\u00e9es, nettoyant enti\u00e8rement les donn\u00e9es de l\u2019ordinateur de l\u2019utilisateur, en n\u2019\u00e9pargnant aucune pi\u00e8ce du hardware. Le nettoyeur de disque dur le plus connu (et horrible) est Shamoon<\/a>, un malware qui a beaucoup fait parler de lui au Moyen Orient en d\u00e9truisant des donn\u00e9es sur plus de 30 000 appareils<\/a> de la plus grande compagnie p\u00e9troli\u00e8re au monde, Saudi Aramco, et en frappant \u00e9galement un autre g\u00e9ant \u00e9nerg\u00e9tique, Rasgas<\/a>. Imaginez\u00a0: + de 30 000 pi\u00e8ces d\u2019hardware inexploitables dans la plus grande compagnie p\u00e9troli\u00e8re au monde\u2026<\/p>\n

Shamoon, Shamoon 2.0, StoneDrill, Newsbeef. Ces nettoyeurs de disque dur se r\u00e9pandent \u00e0 travers le monde.<\/div>\n

Curieusement, depuis sa campagne d\u00e9vastatrice contre l\u2019entreprise saoudienne, en 2012, on a peu entendu parler de Shamoon, jusqu\u2019\u00e0 qu\u2019il fasse son retour en 2016 comme \u00e9tant Shamoon 2.0<\/a>, avec plusieurs nouvelles vagues d\u2019attaques, une fois de plus au Moyen-Orient.<\/p>\n

Depuis que les nouvelles vagues des attaques de Shamoon ont commenc\u00e9, nous avons r\u00e9gl\u00e9 nos capteurs afin de d\u00e9couvrir le plus de versions de malwares possibles (parce que, soyons r\u00e9alistes, nous voulons qu\u2019AUCUN de nos clients ne soit victime d\u2019un malware tel que Shamoon, jamais). Et nous avons r\u00e9ussi \u00e0 trouver plusieurs versions, hourra\u00a0! Mais ensemble et contre toute attente, nous avons pris dans nos filets un type de malware nettoyeur de disque dur compl\u00e8tement nouveau, que nous avons appel\u00e9 StoneDrill<\/em>.<\/p>\n

\"\"<\/p>\n

La base du code de StoneDrill est diff\u00e9rente de celle de Shamoon, et c\u2019est la raison pour laquelle nous pensons qu\u2019il s\u2019agit d\u2019une famille de malware compl\u00e9tement diff\u00e9rente, elle utilise aussi certaines techniques de pr\u00e9vention et de d\u00e9tection avanc\u00e9es, ce que Shamoon ne fait pas. Il s\u2019agit donc d\u2019un nouvel acteur, cela ne fait aucun doute. Et un des \u00e9l\u00e9ments les plus inhabituels (et inqui\u00e9tants) que nous avons appris au sujet de ce malware est qu\u2019\u00e0 la diff\u00e9rence de Shamoon, StoneDrill ne limite pas le champ de ses victimes \u00e0 l\u2019Arabie Saoudite ou \u00e0 d\u2019autres pays voisins. Jusqu\u2019\u00e0 pr\u00e9sent, nous n\u2019avons trouv\u00e9 deux cibles de ce malware, dont l\u2019une d\u2019entre elles est bas\u00e9e en Europe.<\/p>\n

Pourquoi cela est-il pr\u00e9occupant\u00a0? Parce que cette d\u00e9couverte indique que certains acteurs malveillants arm\u00e9s de cyber outils d\u00e9vastateurs t\u00e2tent le terrain dans des r\u00e9gions o\u00f9 auparavant des acteurs de ce type \u00e9taient rarement int\u00e9ress\u00e9s.<\/p>\n

Nous cherchions Shamoon et nous avons trouv\u00e9 StoneDrill. Nous cherchions StoneDrill et nous avons d\u00e9couvert une op\u00e9ration de cyberguerre connect\u00e9e.<\/em><\/p>\n

Donc mon conseil aux entreprises en Europe, qui pourraient int\u00e9resser les op\u00e9rateurs \u00e0 l\u2019origine de StoneDrill, ou peut-\u00eatre m\u00eame de Shamoon\u00a0: pr\u00e9parez vos d\u00e9fenses pour ce type de menace contre votre r\u00e9seau. Ce ne sont pas uniquement les compagnies p\u00e9troli\u00e8res et de gaz du Moyen Orient qui peuvent \u00eatre affect\u00e9es. Il semblerait que ce soit global.<\/p>\n

Retour \u00e0 la cyberpal\u00e9ontologie\u2026<\/p>\n

J\u2019ai mentionn\u00e9 un peu plus t\u00f4t que nous avions d\u00e9couvert de mani\u00e8re inattendue StoneDrill alors qu\u2019on cherchait des \u00e9chantillons de Shamoon. Il est certain que c\u2019\u00e9tait inattendu, mais pas accidentel\u2026<\/p>\n

Afin de d\u00e9couvrir des variantes nouvelles ou similaires de malwares connus, nos chercheurs (parmi d\u2019autres outils) utilisent les r\u00e8gles YARA<\/a>. Celles-ci constituent un outil sp\u00e9cifique qui permet d\u2019\u00e9tablir de multiples param\u00e8tres de recherche diff\u00e9rents et de filtrer nos bases de donn\u00e9es de malwares \u00e0 travers ces r\u00e8gles.<\/p>\n

Traduire en langage humain le processus de chasse aux malwares \u00e0 l\u2019aide des r\u00e8gles YARA est comme chercher un visage en particulier dans une foule sans conna\u00eetre ce visage. Imaginez que vous ayez un correspondant. Apr\u00e8s des ann\u00e9es \u00e0 \u00e9changer des letttres<\/span> e-mails, vous d\u00e9cidez de vous rencontrer, dans une gare bond\u00e9e. Mais comme vous avez d\u00e9cid\u00e9 tous les deux de ne jamais envoyer une photo de vous \u00e0 l\u2019autre personne (n\u2019envoyez pas de photos de vous-m\u00eame, maintenez le myst\u00e8re\u00a0!), vous ne savez pas \u00e0 quoi ressemble votre correspondant, les seules choses que vous savez ce sont quelques d\u00e9tails comme l\u2019\u00e2ge, la taille, la constitution corporelle, la couleur des cheveux, et sans doute le type de v\u00eatements qu\u2019il porte normalement. Donc, dans cette gare bond\u00e9e, vous essayez de trouver quelqu\u2019un qui corresponde aux traits physiques de votre correspondant, mais vous saurez vraiment qui c\u2019est lorsque vous parlerez avec lui.<\/p>\n

Eh bien, la m\u00eame chose est arriv\u00e9e avec StoneDrill.<\/p>\n

Nos chercheurs ont identifi\u00e9 certains param\u00e8tres uniques des derni\u00e8res versions de Shamoon. En se basant sur ces crit\u00e8res, nos experts ont cr\u00e9\u00e9 certaines r\u00e8gles YARA, cliqu\u00e9 sur le bouton de recherche et commenc\u00e9 \u00e0 analyser la capture. Ils ont ensuite trouv\u00e9 un \u00e9chantillon qui correspondait aux param\u00e8tres de Shamoon. Cependant, apr\u00e8s un examen plus approfondi, il s\u2019est av\u00e9r\u00e9 clairement que le malware nouvellement trouv\u00e9 n\u2019\u00e9tait pas du tout Shamoon, mais provenant d\u2019une famille compl\u00e8tement nouvelle du malware nettoyeur de disque dur.<\/p>\n

Retour \u00e0 notre exemple avec les correspondants, cela signifierait que vous identifierez quelqu\u2019un d\u2019autre qui a des param\u00e8tres semblables \u00e0 votre correspondant, mais qui ne l\u2019est pas. Peut-\u00eatre que c\u2019est un proche de votre correspondant, qui sait\u00a0?<\/p>\n

Pourquoi suis-je en train de l\u2019expliquer ici\u00a0?<\/p>\n

Vous vous souvenez de la m\u00e9taphore de la pal\u00e9ontologie au d\u00e9but de l\u2019article\u00a0? C\u2019est ce que je voulais dire quand j\u2019ai \u00e9crit que parfois il est impossible d\u2019attraper de nouveaux monstres sans conna\u00eetre les anciens. Vous voyez, \u00e7a en vaut la peine\u00a0:).<\/p>\n

Mais il y a une autre raison pour laquelle je veux parler de la fa\u00e7on dont nous avons r\u00e9ussi \u00e0 attraper StoneDrill.<\/p>\n

Le fait qu\u2019on ait identifi\u00e9 StoneDrill alors qu\u2019on cherchait Shamoon signifie que les deux sont con\u00e7us et op\u00e8rent dans un \u00ab\u00a0style\u00a0\u00bb plut\u00f4t similaire, m\u00eame si leur code est compl\u00e8tement diff\u00e9rent. Quand je parle de \u00ab\u00a0style\u00a0\u00bb, je me r\u00e9f\u00e8re \u00e0 certaines approches de comment le malware op\u00e9rerait, se cahcerait \u00e0 la fois des logiciels de s\u00e9curit\u00e9 et des chercheurs, etc. Ce n\u2019est pas le genre de similarit\u00e9 que vous trouverez entre, dirons-nous, deux fr\u00e8res, mais une que vous trouverez entre deux \u00e9l\u00e8ves ayant le m\u00eame professeur. Ou entre deux membres du m\u00eame club de correspondants, si vous pr\u00e9f\u00e9rez.<\/p>\n

En d\u2019autres termes, les points communs entre Shamoon et StoneDrill ne sont probablement pas<\/strong> une co\u00efncidence. Shamoon et StoneDrill ont-ils \u00e9t\u00e9 \u00e9crits par un seul et m\u00eame auteur\u00a0? StoneDrill est-il un outil sp\u00e9cifique des op\u00e9rateurs de Shamoon\u00a0? Ou s\u2019agit de deux monstres distincts de deux acteurs compl\u00e9tement diff\u00e9rents\u00a0qui auraient assist\u00e9 aux m\u00eames \u00e9coles de d\u00e9veloppement de malwares ? On l\u2019ignore. Rien n\u2019est impossible, nous continuons d\u2019enqu\u00eater et pr\u00e9senterons nos recherches lors de la prochaine conf\u00e9rence SAS<\/a>.<\/p>\n

Mais attendez\u00a0! Ce n\u2019est pas fini\u00a0!\u2026<\/p>\n

Lorsque nos experts du GReAT ont creus\u00e9 plus loin dans le code de StoneDrill, nous avons fait face \u00e0 comme une sensation forte de d\u00e9j\u00e0 vu\u00a0: ils avaient vu ces lignes de code auparavant\u00a0! O\u00f9\u00a0? Sur une autre op\u00e9ration de cyberespionnage appel\u00e9e Newsbeef, o\u00f9 nous avions publi\u00e9 un article de blog<\/a> l\u2019ann\u00e9e derni\u00e8re. Par cons\u00e9quent, il existe une autre variable dans cette \u00e9quation\u00a0: Newsbeef. Est-ce que StoneDrill est un outil utilis\u00e9 par les op\u00e9rateurs de Newsbeef dans le but d\u2019effacer des donn\u00e9es\u00a0? Encore une fois, il s\u2019agit d\u2019une question \u00e0 laquelle on ne peut pas r\u00e9pondre.<\/p>\n

\"\"<\/p>\n

Maintenant, si on \u00e9tait experts en g\u00e9opolitique ou philosophes, on ferait s\u00fbrement certaines hypoth\u00e8ses concernant ces connections. Comme l\u2019a dit un jour Winnie l\u2019ourson\u00a0: \u00ab\u00a0Ce bourdonnement veut dire quelque chose\u00a0\u00bb.<\/p>\n

Mais (heureusement), nous ne sommes pas experts en g\u00e9opolitique ou philosophes. Nous accomplissons la t\u00e2che difficile de sauver le monde de toutes les cybermenaces peu importe leurs origines et objectifs. La seule raison pour laquelle j\u2019ai indiqu\u00e9 des connexions entre Shamoon, StoneDrill et Newsbeef ici est parce que nous les avons trouv\u00e9es. Et selon moi, il s\u2019agit d\u2019un bon exemple de l\u2019utilit\u00e9 de l\u2019intelligence de la menace professionnelle pour votre entreprise ou une organisation gouvernementale en qu\u00eate d\u2019une meilleure compr\u00e9hension de ce qui se passe autour d\u2019elle. Cela aide \u00e0 comprendre les choses. Et lorsqu\u2019on les comprend, on peut \u00eatre mieux pr\u00e9par\u00e9 face aux risques qu\u2019elles comportent.<\/p>\n

Donc restez \u00e0 l\u2019\u00e9coute, d\u00e9couvrez les r\u00e9sultats en d\u00e9tails de nos chercheurs de Securelist, et si vous souhaitez en savoir plus sur l\u2019intelligence de la menace professionnelle, n\u2019h\u00e9sitez pas \u00e0 vous inscrire \u00e0 notre service de rapports de surveillance des menaces APT<\/a>.<\/p>\n

A pr\u00e9sent, je passe le flambeau aux auteurs de la d\u00e9couverte de StoneDrill\u00a0: une analyse technique d\u00e9taill\u00e9e est disponible ici<\/a>.<\/p>\n

PS\u00a0: Si vous souhaitez que votre \u00e9quipe de s\u00e9curit\u00e9 soit en mesure d\u2019analyser les malwares aussi profond\u00e9ment et professionnellement que l\u2019\u00c9quipe internationale de recherche et d\u2019analyse GReAT, envoyez-la \u00e0 nos sessions de formation. La premi\u00e8re aura lieu \u00e0 la conf\u00e9rence SAS 2017<\/a> d\u00e9but avril\u00a0; cette ann\u00e9e elle se d\u00e9roulera \u00e0 Saint-Martin, parce que nous avons appris il y a longtemps<\/a> que les Cara\u00efbes est l\u2019endroit id\u00e9al pour les discussions sur la cybers\u00e9curit\u00e9 pure et dure et la formation. R\u00e9servez ici<\/a> et faites votre valise (n\u2019oubliez pas votre maillot de bain\u00a0!)<\/p>\n

.@kaspersky r\u00e9v\u00e8le une op\u00e9ration de #cyberguerre massive qui implique au moins trois types de malwares nettoyeurs de disque dur Tweet<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Certains d\u2019entre vous sauront ce que sont les soi-disant nettoyeurs de disque dur, un type de malware qui, une fois install\u00e9 sur un PC infect\u00e9, efface compl\u00e9tement toutes les donn\u00e9es.<\/p>\n","protected":false},"author":13,"featured_media":6781,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1869],"tags":[216,155,88],"class_list":{"0":"post-6780","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-cyberguerre","9":"tag-malware-2","10":"tag-pc"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/stonedrill-malware\/6780\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/cyberguerre\/","name":"cyberguerre"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6780","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=6780"}],"version-history":[{"count":0,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6780\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/6781"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=6780"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=6780"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=6780"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}