Celui qui est resté sur son téléphone lors du mariage d’un ami
Ou l'on découvre que l'écran bleu de la mort est parfois bien utile, enfin pour certains.
Bonjour,
Bienvenue dans ce nouvel épisode de Pwned. Souvenez vous, si vous appréciez la newsletter, vous pouvez vous abonner directement via ce formulaire si ce n’est pas encore fait.
Petit rappel : dans cette saison, on fait un pas de côté par rapport aux histoires de cybercrime pour se concentrer sur des piratages étatiques. Mais vous allez le voir, ça vaut le coup.
En ce printemps 2010, cela fait quatre ans que Sergey Ulasen a rejoint VirusBlokAda. Basée à Minsk depuis sa création en 1997, elle est l’une des sociétés en pointe dans le domaine des antivirus en Biélorussie. Après une licence en développement logiciel, l’informaticien a rejoint cette société pour bosser sur les antivirus et les incidents liés à des logiciels malveillants signalés par les clients.
Ce samedi, Ulasen est au mariage d’un proche. Mais au lieu de faire la fête, le voici en train de pianoter frénétiquement sur son téléphone portable. Comme le racontera plus tard ce grand échalas, l’un des utilisateurs de l’antivirus a un problème. L’ordinateur redémarre tout seul, pris dans une boucle d’écrans bleu de la mort. Au départ, Sergey Ulasen soupçonne un problème de mauvaise configuration du système d’exploitation Windows, ou un conflit entre plusieurs applications.
En faisant quelques recherches pour son ami basé en Iran, l’informaticien trouve quelque chose d’étonnant. Les mêmes anomalies ont été signalées sur d’autres ordinateurs, dont des terminaux qui venaient pourtant d’être configurés. Aucun doute : il s’agit d’une infection par un logiciel malveillant, “très certainement conçu et construit de manière experte”, puisqu’il n’a pas été détecté.
De retour au bureau, Sergey Ulasen reprend son enquête en inspectant à distance l’ordinateur problématique. Assez rapidement, l’expert identifie et décortique le malware, qu'il baptise Trojan-Spy.0485. Ce qu'il découvre est assez étonnant. Deux pilotes, Mrxnet.sys et mrxcls.sys, sont d’abord utilisés pour injecter du code dans le système et masquer l’intrusion d’un cheval de Troie.
Ceux-ci sont pourtant signés par des certificats datant de janvier 2010. Établis par le constructeur Realtek, ils attestent que l’on peut faire confiance au logiciel. Le cauchemar des développeurs d’antivirus, dira plus tard un expert de Kaspersky.
Le programme malveillant combine également plusieurs vulnérabilités non corrigées, des failles 0-day (quatre ou cinq selon les décomptes). Celles-ci visent l’environnement Windows. Leur nombre interpelle les chercheurs. Ces vulnérabilités sont rares et précieuses. En trouver autant dans un logiciel malveillant, c'est du jamais vu.
Le mode de propagation n’est pas non plus anodin : le programme utilise des clés USB pour se propager en exploitant une vulnérabilité dans l'affichage des raccourcis. “Il vous suffit d'ouvrir le périphérique de stockage USB infecté à l'aide de Microsoft Explorer ou de tout autre gestionnaire de fichiers pouvant afficher des icônes pour infecter votre système d'exploitation et permettre l'exécution du logiciel malveillant”, résume VirusBlokAda dans son message d’alerte à la mi-juin 2010.
Le programme appartient à la catégorie des vers, et a donc la capacité d'infecter un grand nombre d'ordinateurs. Pourtant, comme le remarque quelques semaines plus tard le chercheur Frank Boldewin, le logiciel malveillant a plutôt des airs de programme très ciblé.
Il s’intéresse plus particulièrement à un système de contrôle industriel de l’entreprise allemande Siemens, WinCC (et plus précisément Simatic WinCC Step7). Un logiciel malveillant banal n’aurait pas autant restreint son champ d’action. C’est donc qu’il s’agit d’un programme visant à faire de l’espionnage, en conclut-il.
Après une première réaction de Microsoft, qui signale l'une des vulnérabilités exploitée par le malware dans un avis de sécurité, les découvertes inquiétantes se succèdent. Selon Kaspersky, s’il y a 16 000 ordinateurs infectés dans le monde, ils sont concentrés dans trois pays : l’Iran, l’Inde et l’Indonésie. Rapidement le logiciel malveillant, rebaptisé Stuxnet, concentre l’attention des entreprises de sécurité informatique du monde entier, comme Symantec.
A la fin septembre, la société américaine tente de résumer ce que l’on sait du fonctionnement du malware et de ses origines. Ce travail d’analyse a été mené en partie par un français, Nicolas Fallière, un expert en rétro-ingénierie embauché par Symantec. Ses analyses esquissent un scénario que les experts auraient cru impossible encore quelques mois plus tôt.
La bête fait 500 000 octets, contre 10 à 15 000 habituellement, résume plus tard la journaliste Kim Zetter en 2011, la meilleure spécialiste du sujet. Quand Stuxnet infecte une nouvelle cible, il signale sa prise auprès de deux domaines hébergés en Malaisie et au Danemark. Outre les infections par clé USB, le programme exploite une vulnérabilité liée au spooling, cette file d’attente des tâches d’impression. Elle permet à Stuxnet de se propager sur les machines utilisant une imprimante partagée.
Ces failles zero-day étaient en partie déjà connues. La première exploitée avait ainsi été aperçue dans le cheval de Troie Zlob, découvert quelques années plus tôt. La vulnérabilité de la file d’attente des tâches d’impression avait elle été décortiquée par un magazine polonais. Quant au mot de passe compromis de Siemens embarqué, il avait déjà fuité sur des forums spécialisés.
Ok, on connaît désormais bien la bête. Mais quelle était sa cible? Eh bien visiblement, souligne-t-on à l’automne 2010, elle visait des convertisseurs de fréquence. Mais pas n'importe lesquels : Stuxnet s’intéresse à des appareils fabriqués en Finlande et en Iran et qui modulent la vitesse de rotors bien particuliers fonctionnant entre 807 hertz et 1210 hertz.
Une fois installé, Stuxnet force alors des vitesses plus élevées que prévu. Pas tout le temps : les moteurs doivent accélérer sur de courts intervalles sur des périodes de plusieurs mois. Symantec précise aussitôt ne pas être expert en système de contrôle industriel ni dans les applications de ces variateurs de moteurs.
D’ailleurs, rappelle l’entreprise, l’exportation de ces variateurs de fréquence est réglementée car ils sont notamment utilisés pour l’enrichissement de l’uranium. Et boum.
On en reparle la semaine prochaine,
Bonne journée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
The Man Who Found Stuxnet – Sergey Ulasen in the Spotlight
Stuxnet attackers used 4 Windows zero-day exploits
Trojan spreads via new Windows hole
Microsoft Security Advisory (2286198)
Exploring Stuxnet’s PLC Infection Process
Stuxnet Introduces the First Known Rootkit for Industrial Control Systems
How digital detectives deciphered Stuxnet, the most menacing malware in history