Aperçu de l`activité virale, octobre 2011
Transcription
Aperçu de l`activité virale, octobre 2011
Aperçu de l'activité virale, octobre 2011 Alexandre Gostev Denis Maslenikov Iouri Namestnikov Octobre en chiffres Voici le bilan mensuel de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs : 161 003 697 attaques de réseau ont été déjouées ; 72 207 273 tentatives d'infection via des sites Web ont été bloquées ; 205 822 404 programmes malveillants ont été détectés et neutralisés (tentatives d'infection locale) ; 80 900 079 verdicts heuristiques ont été recensés. Nouveautés dans les technologies et les programmes employés par les individus malintentionnés Duqu, une réincarnation de Stuxnet La détection du cheval de Troie Duqu aura sans conteste été l'événement le plus important du mois d'octobre dans le secteur de la lutte contre les virus. L'analyse réalisée par les spécialistes du laboratoire hongrois Crysys a mis en évidence de nombreux points communs entre le code de ce cheval de Troie et celui du ver Stuxnet, le premier exemplaire connu de « cyberarme ». La ressemblance entre les deux programmes malveillants est à ce point frappante que l'on pourrait penser que le même groupe de personnes est à l'origine des deux programmes ou que les développeurs de Duqu ont utilisé les codes sources de Stuxnet (qui, malgré plusieurs rumeurs, n'ont jamais été accessibles au public). A la différence de Stuxnet qui contenait un code capable de modifier les paramètres de fonctionnement des moteurs à haut régime et qui aurait été développé pour mettre hors service les centrifugeuses d'un centre iranien d'enrichissement de l'uranium, Duqu n'est pas capable de fonctionner avec les systèmes industriels. Les fichiers de Duqu découverts en Hongrie lors de l'enquête sur le premier incident connu impliquant ce cheval de Troie contenaient, en plus du module principal responsable de l'interaction avec le serveur d'administration, un module de cheval de Troie espion. Ce module est capable d'intercepter les données saisies au clavier, de prendre des captures d'écran, de récolter des informations sur le système, etc. Ensuite, ces données volées pouvaient être transmises au serveur d'administration du cheval de Troie situé, à l'époque, en Inde. L'accent évident mis sur l'espionnage industriel et non pas le sabotage (à la différence de Stuxnet) a tout de suite suscité de nombreuses questions sur le véritable objectif poursuivi par Duqu. Lors de leur enquête, les experts de Kaspersky Lab ont pu non seulement découvrir de nouvelles victimes de Duqu, principalement en Iran (ce qui force une fois de plus un parallèle avec Stuxnet), mais également détecter de nouveaux fichiers inconnus de Duqu. Ceci confirme notre hypothèse que les propriétaires de Duqu poursuivent leur « opération » et que les attaques portent sur des cibles soigneusement sélectionnées (à la différence de l'infection massive de Stuxnet). Qui plus est, un ensemble particulier de fichiers du cheval de Troie est utilisé pour chacune des cibles attaquées. Il est probable également que des modules complémentaires soient utilisés, et pas seulement un cheval de Troie espion comme nous l'avons évoqué ci-dessus, mais un module doté d'une fonction quelconque. L'analyse de Duqu se poursuit et nous espérons pouvoir présenter plus de détails dans le cadre de notre prochain rapport. Attaques contre les particuliers Bundestrojan : les limites de l'acceptable Un scandale retentissant a éclaté en Allemagne au mois d'octobre. Il est lié à la découverte d'une porte dérobée utilisée par la police allemande dans le cadre d'enquêtes pour intercepter des communications orales et des messages envoyés depuis les ordinateurs des suspects. L'enquête menée par la société allemande de hackers Chaos Computer Club (CCC), à laquelle ont participé ensuite des experts de Kaspersky Lab en Allemagne, a permis de démontrer que le cheval de Troie vise non seulement à intercepter les communications sur Skype, mais également via divers clients de messagerie instantanée et d'applications de téléphonie VoIP comme ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster et Yahoo! Messenger. L'enquête a établi également que la porte dérobée peut fonctionner sous les versions 64 bits de Windows. Le scandale a éclaté non pas seulement parce que déjà cinq Land allemands ont reconnu avoir utilisé ce cheval de Troie, mais également parce que la législation fédérale allemande autorise les forces de l'ordre à intercepter uniquement le trafic Skype des suspects. Comme nous l'avons démontré, Backdoor.Win32.R2D2 (connu également sous le nom « 0zapftis ») est capable d'espionner un éventail beaucoup plus large d'applications. D'après l'enquête, la copie du cheval de Troie analysée avait été installée par la police sur l'ordinateur portable du suspect lors d'un contrôle à l'aéroport de Munich. Par la suite, des documents publiés sur le site de WikiLeaks ont indiqué que le développement de ce cheval de Troie avait été confié à la société allemande DigiTask pour un montant de plus de 2 millions d'euros. L'histoire de R2D2 a une fois de plus posé la question des chevaux de Troie « judiciaires » et de la légalité de leur utilisation. Nous tenons à signaler que notre société, à l'instar de nombreux autres éditeurs de logiciels antivirus, adopte dans le domaine une position stricte et claire : nous détectons et nous continuerons à détecter tous les programmes malveillants quels que soient leurs auteurs ou les objectifs qu'ils poursuivent. Menaces sur les appareils nomades : Android en tête Statistiques Un événement relativement important s'est produit en octobre dans le monde des menaces pour appareils nomades. D'après nos statistiques, le nombre global de programmes malveillants pour Android a dépassé le nombre de programmes malveillants pour la plateforme J2ME (au milieu de l'été, Symbian devançait toujours Android). Pour rappel, au cours des deux dernières années, les programmes malveillants pour Java 2 Micro Edition (J2ME) dominaient la scène. Nous avons évoqué à plusieurs reprises les raisons de cette situation et par conséquent, nous n'allons pas nous y attarder. Ceci étant, la vitesse et l'ampleur de la croissance du nombre de programmes malveillants pour Android montrent qu'à court terme, les auteurs de virus vont se concentrer principalement sur ce système d'exploitation. Passons donc aux chiffres. A la fin du mois d'octobre, nous avions détecté 1 916 versions de programmes malveillants pour Android réparties en 92 familles. S'agissant de la plateforme J2ME, ce Commentaire [h1]: http://www.securelist.com/ru/analysis/20 8050548/Mobilnaya_virusologiya_chast_3 #2 sont 1 610 versions réparties en 60 familles qui ont été détectées. Si l'on s'intéresse aux rapports des modifications découvertes pour toutes les plateformes nomades, la situation est la suivante ; Le nombre total de menaces pour appareils nomades détectées tout au long de leur existence était de 4 053 modifications à la fin du mois d'octobre, réparties en 289 familles. Antammi Malheureusement, l'apparition d'un programme malveillant sur Android Market n'est pas un phénomène rare. Au mois d'octobre, une nouvelle notification adressée par Kaspersky Lab a permis de supprimer un autre programme malveillant, détecté sous le nom de Trojan-Spy.AndroidOS.Antammi.b du site de ce magasin d'applications. Ce programme malveillant vise un public russophone. Les applications pour télécharger des sonneries sont monnaie courante sur Android Market. Antammi.b contient également une fonction de téléchargement de sonneries pour téléphone (via l'envoi d'un SMS payant), mais en plus, il vole pratiquement toutes les données personnelles de l'utilisateur : les contacts (par exemple, ceux qui sont copiés sur une carte mémoire dans le fichier /sdcard/bestringtones/contacts.txt), l'archive des SMS, les coordonnées GPS, etc. Ensuite, le programme malveillant envoie les données relatives à son travail à une adresse Gmail et les données volées sont chargées sur un serveur. Antammi.b a fait son apparition sur la boutique officielle au début du mois de septembre et plus de 5 000 utilisateurs l'ont téléchargé jusqu'à sa suppression du magasin. Menaces pour MacOS : nouvelle fonctionnalité Une nouvelle version du cheval de Troie pour Mac OS X Flashfake baptisée TrojanDownloader.OSX.Flashfake.d a été découverte à la mi-octobre. La principale fonction de ce programme malveillant, à savoir le téléchargement de fichiers, est inchangée. Il se dissimule toujours sous les traits d'un fichier d'installation pour Adobe Flash Player. Toutefois ce programme intègre une nouvelle fonctionnalité pour les programmes malveillants sous OS X. Il y a deux ans, Apple a ajouté à Mac OS X un système de protection contre les programmes malveillants baptisé Xprotect. Il s'agit en réalité d'un simple scanner sur la base de définitions qui, depuis le 31 mai de cette année, suite à l'histoire de MacDefender, vérifie chaque jour la présence d'une mise à jour des bases des programmes malveillants. Trojan-Downloader.OSX.Flashfake.d est capable de mettre la protection Xprotect hors jeu en « cassant » ses principaux fichiers. La protection n'est plus en mesure de récupérer les mises à jour depuis Apple, ce qui réduit l'efficacité de Xprotect à zéro. La possibilité de désactiver la protection intégrée est due au fait que les développeurs n'ont tout simplement pas prévu de mécanisme d'autodéfense. Commentaire [YN2]: http://www.secu relist.com/ru/blog/40527/Koshki_myshki_s o_snezhnym_barsom Par conséquent, une fois que le programme malveillant Trojan-Downloader.OSX.Flashfake.d s'est exécuté sur l'ordinateur, il se protège contre sa suppression et rend le système vulnérable à d'autres programmes malveillants qui seraient normalement détectés par la protection intégrée. Ce cheval de Troie est donc plus dangereux que les autres programmes malveillants pour OS X. Croissance du nombre de programmes malveillants pour OS X en 2011 (statistiques du nombre de modifications) L'émergence de nouveaux programmes malveillants pour Mac OS X est liée avant tout à la hausse de popularité des ordinateurs de la firme à la pomme. Malheureusement, les utilisateurs de Mac OS X ne prêtent pas beaucoup d'attention à leur sécurité et chaque Mac est loin d'être équipé d'un logiciel antivirus. Quant aux technologies employées par les mécanismes de protections intégrées, elles sont dépassées. Par conséquent, les Mac deviennent une proie facile pour les auteurs de virus. Attaques contre les réseaux des entreprises et des grandes organisations Le mois d'octobre aura été riche en événements dans le domaine des attaques contre les entreprises et les organismes publics. Japon : dans la ligne de mire des pirates Tout d'abord, de nouveaux éléments relatifs aux attaques dont a été victime la société japonaise Mitsubishi Heavy Industries, que nous évoquions dans notre précédent rapport ont émergé. L'enquête menée par la police de Tokyo a mis en évidence près de 50 programmes malveillants différents sur les 83 ordinateurs victimes de l'attaque. 28 programmes malveillants ont été détectés rien que sur un de ces ordinateurs. L'enquête a également établi que les pirates ont réalisé plus de 300 000 échanges avec les systèmes infectés. L'étude des sources de l'attaque a mis en évidence un autre ordinateur infecté appartenant à la Society of Japanese Aerospace Companies (SJAC). C'est au départ de cet ordinateur que les pirates ont envoyé les messages infectés aux victimes chez Mitsubishi Heavy et Commentaire [e3]: http://www.secure list.com/ru/analysis/208050719/Obzor_vir usnoy_aktivnosti_sentyabr_2011 Kawasaki Heavy. Les auteurs de l'attaque contactaient cet ordinateur via un serveur proxy anonyme aux Etats-Unis, brouillant ainsi toutes les pistes qui auraient permis d'identifier leur emplacement. Ceci étant dit, les enquêteurs japonais privilégient toujours la thèse de l'origine chinoise des pirates. Au début, les autorités avaient annoncé qu'aucune information confidentielle n'avait été volée. Mais près d'un mois après le début de l'enquête, les journalistes ont obtenu des informations indiquant que les pirates avaient réussi malgré tout à voler des données relatives à des chasseurs à réaction ainsi que les plans de centrales nucléaires. Le Japon a une fois de plus fait parler de lui ce mois, suite à la découverte d'une attaque ciblée contre les membres de la chambre basse du parlement japonais et toute une série de missions diplomatiques de ce pays à travers le monde. 32 ordinateurs du parlement ont été infectés et les pirates ont certainement eu accès à des documents internes et à toute la correspondance électronique des parlementaires. Des virus ont également été détectés sur des ordinateurs dans les ambassades du Japon en France, aux Pays-Bas, au Myanmar, aux Etats-Unis, au Canada, en Chine et en Corée du Nord. Les programmes malveillants communiquaient avec deux serveurs en Chine, serveurs utilisés précédemment dans le cadre d'attaques contre la société Google. États-Unis : de nouveaux détails sur d’anciennes histoires Une série d'audiences spéciales organisées par le Congrès des Etats-Unis, autre pays habitué des cyberattaques, au mois d'octobre a permis d'obtenir des détails sur une multitude d'attaques, notamment celle menée contre la société RSA au mois de mars. D'après les informations fournies, plusieurs centaines d'entreprises à travers le monde ont peut-être été victimes d'incidents et d'attaques semblables orchestrées par le même groupe de pirates. Pour rappel, les experts ici aussi penchent pour l'origine clairement chinoise de la menace. Des attaques contre deux satellites américains en 2007 et 2008 ont également été évoquées. Des pirates inconnus ont gêné à plusieurs reprises le travail des satellites d'exploration scientifiques Landsat7 et Terra AM-1. Officiellement, on ne sait pas si les pirates ont réussi à voler de quelconques informations ou à perturber le fonctionnement des satellites. D'après les déclarations des autorités américaines, les satellites attaqués ne jouent aucun rôle dans la protection de la sécurité nationale des Etats-Unis mais la simple annonce d'attaques réussies contre des satellites est préoccupante en ellemême. En principe, une fois que des pirates ont pu accéder à la gestion d'un satellite, ils pourraient le mettre hors service ou manipuler les données qu'il transmet. Seules quatre attaques au cours desquelles les individus malintentionnés ont eut accès à la direction du satellite ont été enregistrées en l'espace de quelques minutes. Il semblerait que ces attaques aient pu être menées après la violation du système informatique du centre de contrôle des satellites au sol situé en Norvège. Dans ce contexte, la découverte d'un virus dans les systèmes de pilotage d'un drone sur une base américaine est encore plus étrange. Un cheval de Troie chargé de « voler les données des comptes utilisateurs » a été découvert en septembre sur des disques amovibles et des ordinateurs d'un centre de commande au sol de soutien aux opérations des drones à distance. Selon une source anonyme du ministère de la Défense des Etats-Unis, le cheval de Troie visait à voler les données d'accès à plusieurs jeux en ligne et il est probable qu'il ait fait son apparition dans le système par accident et non pas suite à une attaque ciblée. Quoi qu'il en soit, ceci démontre une fois de plus l'insouciance vis-à-vis de la sécurité qui est inadmissible dans les domaines où la sécurité est une question de vie ou de mort. Classements du mois d'octobre TOP 10 des programmes malveillants sur Internet 1 Malicious URL 82,47% = 2 Trojan.Script.Iframer 2,25% +1 3 Trojan.Win32.Generic 1,41% +4 4 Trojan.Script.Generic 1,18% = 5 Exploit.Script.Generic 1,03% +2 6 AdWare.Win32.Shopper.il 0,46% Nouveau ! 7 Trojan-Downloader.Script.Generic 0,46% +1 8 AdWare.Win32.Eorezo.heur 0,32% -3 9 Trojan.JS.Popupper.aw 0,27% Nouveau ! 10 AdWare.Win32.Shopper.jq 0,23% Nouveau ! Top 10 des pays dont les ressources hébergent les programmes malveillants 1 États-Unis 25,43% = 2 Fédération de Russie 22,68% = 3 Allemagne 10,46% = 4 Pays-Bas 10,09% = 5 Ukraine 7,52% +1 6 Royaume-Uni 4,58% -1 7 Îles vierges britanniques 3,86% +1 8 Chine 3,35% -1 9 Japon 1,87% Nouveau ! 10 1,76% Roumanie = Top 10 des serveurs d'hébergement malveillant 1 stats1.in 16,59 % 2 ru-download.in 8,61% 3 72.51.44.90 8,39% 4 e46l.cc 8,20% 5 adult-se.com 7,88% 6 rx-downloader.in 7,88 % 7 lxtraffic.com 5,10% 8 literedirect.com 4,75 % 9 au.imgfarm.com 4,48% 10 tizerplatform.com 3,79% Top 10 des domaines malveillants 1 com 29549282 2 ru 11275285 3 in 3229968 4 info 2284435 5 net 2096213 6 org 1625163 7 me 1382158 8 tv 962598 9 cc 649231 10 biz 387681 Top 10 des pays dont les internautes ont été le plus exposés au risque d'infection via Internet 1 Fédération de Russie 36,9% = 2 Arménie 33,7% = 3 Biélorussie 31,0% +1 4 Irak 30,8% +5 5 Mongolie 30,2% Nouveau ! 6 Ukraine 28,8% +1 7 Soudan 27,7% +3 8 Kazakhstan 26,9% -5 9 Corée, République de 26,9% -1 10 Azerbaïdjan 26,7% -4