Aperçu de l`activité virale, octobre 2011

Aperçu de l'activité virale, octobre 2011
Alexandre Gostev
Denis Maslenikov
Iouri Namestnikov
Octobre en chiffres
Voici le bilan mensuel de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :
161 003 697 attaques de réseau ont été déjouées ;
72 207 273 tentatives d'infection via des sites Web ont été bloquées ;
205 822 404 programmes malveillants ont été détectés et neutralisés (tentatives d'infection
locale) ;
80 900 079 verdicts heuristiques ont été recensés.
Nouveautés dans les technologies et les programmes employés par les
individus malintentionnés
Duqu, une réincarnation de Stuxnet
La détection du cheval de Troie Duqu aura sans conteste été l'événement le plus important du mois
d'octobre dans le secteur de la lutte contre les virus. L'analyse réalisée par les spécialistes du laboratoire
hongrois Crysys a mis en évidence de nombreux points communs entre le code de ce cheval de Troie et
celui du ver Stuxnet, le premier exemplaire connu de « cyberarme ». La ressemblance entre les deux
programmes malveillants est à ce point frappante que l'on pourrait penser que le même groupe de
personnes est à l'origine des deux programmes ou que les développeurs de Duqu ont utilisé les codes
sources de Stuxnet (qui, malgré plusieurs rumeurs, n'ont jamais été accessibles au public).
A la différence de Stuxnet qui contenait un code capable de modifier les paramètres de fonctionnement
des moteurs à haut régime et qui aurait été développé pour mettre hors service les centrifugeuses d'un
centre iranien d'enrichissement de l'uranium, Duqu n'est pas capable de fonctionner avec les systèmes
industriels. Les fichiers de Duqu découverts en Hongrie lors de l'enquête sur le premier incident connu
impliquant ce cheval de Troie contenaient, en plus du module principal responsable de l'interaction avec
le serveur d'administration, un module de cheval de Troie espion. Ce module est capable d'intercepter
les données saisies au clavier, de prendre des captures d'écran, de récolter des informations sur le
système, etc. Ensuite, ces données volées pouvaient être transmises au serveur d'administration du
cheval de Troie situé, à l'époque, en Inde. L'accent évident mis sur l'espionnage industriel et non pas le
sabotage (à la différence de Stuxnet) a tout de suite suscité de nombreuses questions sur le véritable
objectif poursuivi par Duqu.
Lors de leur enquête, les experts de Kaspersky Lab ont pu non seulement découvrir de nouvelles
victimes de Duqu, principalement en Iran (ce qui force une fois de plus un parallèle avec Stuxnet), mais
également détecter de nouveaux fichiers inconnus de Duqu. Ceci confirme notre hypothèse que les
propriétaires de Duqu poursuivent leur « opération » et que les attaques portent sur des cibles
soigneusement sélectionnées (à la différence de l'infection massive de Stuxnet). Qui plus est, un
ensemble particulier de fichiers du cheval de Troie est utilisé pour chacune des cibles attaquées. Il est
probable également que des modules complémentaires soient utilisés, et pas seulement un cheval de
Troie espion comme nous l'avons évoqué ci-dessus, mais un module doté d'une fonction quelconque.
L'analyse de Duqu se poursuit et nous espérons pouvoir présenter plus de détails dans le cadre de notre
prochain rapport.
Attaques contre les particuliers
Bundestrojan : les limites de l'acceptable
Un scandale retentissant a éclaté en Allemagne au mois d'octobre. Il est lié à la découverte d'une porte
dérobée utilisée par la police allemande dans le cadre d'enquêtes pour intercepter des communications
orales et des messages envoyés depuis les ordinateurs des suspects. L'enquête menée par la société
allemande de hackers Chaos Computer Club (CCC), à laquelle ont participé ensuite des experts de
Kaspersky Lab en Allemagne, a permis de démontrer que le cheval de Troie vise non seulement à
intercepter les communications sur Skype, mais également via divers clients de messagerie instantanée
et d'applications de téléphonie VoIP comme ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro,
sipgate X-Lite, VoipBuster et Yahoo! Messenger. L'enquête a établi également que la porte dérobée peut
fonctionner sous les versions 64 bits de Windows.
Le scandale a éclaté non pas seulement parce que déjà cinq Land allemands ont reconnu avoir utilisé ce
cheval de Troie, mais également parce que la législation fédérale allemande autorise les forces de
l'ordre à intercepter uniquement le trafic Skype des suspects. Comme nous l'avons démontré,
Backdoor.Win32.R2D2 (connu également sous le nom « 0zapftis ») est capable d'espionner un éventail
beaucoup plus large d'applications.
D'après l'enquête, la copie du cheval de Troie analysée avait été installée par la police sur l'ordinateur
portable du suspect lors d'un contrôle à l'aéroport de Munich. Par la suite, des documents publiés sur le
site de WikiLeaks ont indiqué que le développement de ce cheval de Troie avait été confié à la société
allemande DigiTask pour un montant de plus de 2 millions d'euros.
L'histoire de R2D2 a une fois de plus posé la question des chevaux de Troie « judiciaires » et de la
légalité de leur utilisation. Nous tenons à signaler que notre société, à l'instar de nombreux autres
éditeurs de logiciels antivirus, adopte dans le domaine une position stricte et claire : nous détectons et
nous continuerons à détecter tous les programmes malveillants quels que soient leurs auteurs ou les
objectifs qu'ils poursuivent.
Menaces sur les appareils nomades : Android en tête
Statistiques
Un événement relativement important s'est produit en octobre dans le monde des menaces pour
appareils nomades. D'après nos statistiques, le nombre global de programmes malveillants pour
Android a dépassé le nombre de programmes malveillants pour la plateforme J2ME (au milieu de l'été,
Symbian devançait toujours Android). Pour rappel, au cours des deux dernières années, les programmes
malveillants pour Java 2 Micro Edition (J2ME) dominaient la scène. Nous avons évoqué à plusieurs
reprises les raisons de cette situation et par conséquent, nous n'allons pas nous y attarder. Ceci étant, la
vitesse et l'ampleur de la croissance du nombre de programmes malveillants pour Android montrent
qu'à court terme, les auteurs de virus vont se concentrer principalement sur ce système d'exploitation.
Passons donc aux chiffres. A la fin du mois d'octobre, nous avions détecté 1 916 versions de
programmes malveillants pour Android réparties en 92 familles. S'agissant de la plateforme J2ME, ce
Commentaire [h1]:
http://www.securelist.com/ru/analysis/20
8050548/Mobilnaya_virusologiya_chast_3
#2
sont 1 610 versions réparties en 60 familles qui ont été détectées. Si l'on s'intéresse aux rapports des
modifications découvertes pour toutes les plateformes nomades, la situation est la suivante ;
Le nombre total de menaces pour appareils nomades détectées tout au long de leur existence était de
4 053 modifications à la fin du mois d'octobre, réparties en 289 familles.
Antammi
Malheureusement, l'apparition d'un programme malveillant sur Android Market n'est pas un
phénomène rare. Au mois d'octobre, une nouvelle notification adressée par Kaspersky Lab a permis de
supprimer un autre programme malveillant, détecté sous le nom de Trojan-Spy.AndroidOS.Antammi.b
du site de ce magasin d'applications.
Ce programme malveillant vise un public russophone. Les applications pour télécharger des sonneries
sont monnaie courante sur Android Market. Antammi.b contient également une fonction de
téléchargement de sonneries pour téléphone (via l'envoi d'un SMS payant), mais en plus, il vole
pratiquement toutes les données personnelles de l'utilisateur : les contacts (par exemple, ceux qui sont
copiés sur une carte mémoire dans le fichier /sdcard/bestringtones/contacts.txt), l'archive des SMS, les
coordonnées GPS, etc. Ensuite, le programme malveillant envoie les données relatives à son travail à
une adresse Gmail et les données volées sont chargées sur un serveur.
Antammi.b a fait son apparition sur la boutique officielle au début du mois de septembre et plus de
5 000 utilisateurs l'ont téléchargé jusqu'à sa suppression du magasin.
Menaces pour MacOS : nouvelle fonctionnalité
Une nouvelle version du cheval de Troie pour Mac OS X Flashfake baptisée TrojanDownloader.OSX.Flashfake.d a été découverte à la mi-octobre. La principale fonction de ce programme
malveillant, à savoir le téléchargement de fichiers, est inchangée. Il se dissimule toujours sous les traits
d'un fichier d'installation pour Adobe Flash Player. Toutefois ce programme intègre une nouvelle
fonctionnalité pour les programmes malveillants sous OS X.
Il y a deux ans, Apple a ajouté à Mac OS X un système de protection contre les programmes malveillants
baptisé Xprotect. Il s'agit en réalité d'un simple scanner sur la base de définitions qui, depuis le 31 mai
de cette année, suite à l'histoire de MacDefender, vérifie chaque jour la présence d'une mise à jour des
bases des programmes malveillants. Trojan-Downloader.OSX.Flashfake.d est capable de mettre la
protection Xprotect hors jeu en « cassant » ses principaux fichiers. La protection n'est plus en mesure de
récupérer les mises à jour depuis Apple, ce qui réduit l'efficacité de Xprotect à zéro. La possibilité de
désactiver la protection intégrée est due au fait que les développeurs n'ont tout simplement pas prévu
de mécanisme d'autodéfense.
Commentaire [YN2]: http://www.secu
relist.com/ru/blog/40527/Koshki_myshki_s
o_snezhnym_barsom
Par conséquent, une fois que le programme malveillant Trojan-Downloader.OSX.Flashfake.d s'est
exécuté sur l'ordinateur, il se protège contre sa suppression et rend le système vulnérable à d'autres
programmes malveillants qui seraient normalement détectés par la protection intégrée. Ce cheval de
Troie est donc plus dangereux que les autres programmes malveillants pour OS X.
Croissance du nombre de programmes malveillants pour OS X en 2011 (statistiques du nombre de modifications)
L'émergence de nouveaux programmes malveillants pour Mac OS X est liée avant tout à la hausse de
popularité des ordinateurs de la firme à la pomme. Malheureusement, les utilisateurs de Mac OS X ne
prêtent pas beaucoup d'attention à leur sécurité et chaque Mac est loin d'être équipé d'un logiciel
antivirus. Quant aux technologies employées par les mécanismes de protections intégrées, elles sont
dépassées. Par conséquent, les Mac deviennent une proie facile pour les auteurs de virus.
Attaques contre les réseaux des entreprises et des grandes
organisations
Le mois d'octobre aura été riche en événements dans le domaine des attaques contre les entreprises et
les organismes publics.
Japon : dans la ligne de mire des pirates
Tout d'abord, de nouveaux éléments relatifs aux attaques dont a été victime la société japonaise
Mitsubishi Heavy Industries, que nous évoquions dans notre précédent rapport ont émergé.
L'enquête menée par la police de Tokyo a mis en évidence près de 50 programmes malveillants
différents sur les 83 ordinateurs victimes de l'attaque. 28 programmes malveillants ont été détectés rien
que sur un de ces ordinateurs. L'enquête a également établi que les pirates ont réalisé plus de 300 000
échanges avec les systèmes infectés. L'étude des sources de l'attaque a mis en évidence un autre
ordinateur infecté appartenant à la Society of Japanese Aerospace Companies (SJAC). C'est au départ de
cet ordinateur que les pirates ont envoyé les messages infectés aux victimes chez Mitsubishi Heavy et
Commentaire [e3]: http://www.secure
list.com/ru/analysis/208050719/Obzor_vir
usnoy_aktivnosti_sentyabr_2011
Kawasaki Heavy. Les auteurs de l'attaque contactaient cet ordinateur via un serveur proxy anonyme aux
Etats-Unis, brouillant ainsi toutes les pistes qui auraient permis d'identifier leur emplacement. Ceci étant
dit, les enquêteurs japonais privilégient toujours la thèse de l'origine chinoise des pirates.
Au début, les autorités avaient annoncé qu'aucune information confidentielle n'avait été volée. Mais
près d'un mois après le début de l'enquête, les journalistes ont obtenu des informations indiquant que
les pirates avaient réussi malgré tout à voler des données relatives à des chasseurs à réaction ainsi que
les plans de centrales nucléaires.
Le Japon a une fois de plus fait parler de lui ce mois, suite à la découverte d'une attaque ciblée contre
les membres de la chambre basse du parlement japonais et toute une série de missions diplomatiques
de ce pays à travers le monde. 32 ordinateurs du parlement ont été infectés et les pirates ont
certainement eu accès à des documents internes et à toute la correspondance électronique des
parlementaires. Des virus ont également été détectés sur des ordinateurs dans les ambassades du Japon
en France, aux Pays-Bas, au Myanmar, aux Etats-Unis, au Canada, en Chine et en Corée du Nord. Les
programmes malveillants communiquaient avec deux serveurs en Chine, serveurs utilisés
précédemment dans le cadre d'attaques contre la société Google.
États-Unis : de nouveaux détails sur d’anciennes histoires
Une série d'audiences spéciales organisées par le Congrès des Etats-Unis, autre pays habitué des
cyberattaques, au mois d'octobre a permis d'obtenir des détails sur une multitude d'attaques,
notamment celle menée contre la société RSA au mois de mars. D'après les informations fournies,
plusieurs centaines d'entreprises à travers le monde ont peut-être été victimes d'incidents et d'attaques
semblables orchestrées par le même groupe de pirates. Pour rappel, les experts ici aussi penchent pour
l'origine clairement chinoise de la menace.
Des attaques contre deux satellites américains en 2007 et 2008 ont également été évoquées. Des
pirates inconnus ont gêné à plusieurs reprises le travail des satellites d'exploration scientifiques Landsat7 et Terra AM-1. Officiellement, on ne sait pas si les pirates ont réussi à voler de quelconques
informations ou à perturber le fonctionnement des satellites. D'après les déclarations des autorités
américaines, les satellites attaqués ne jouent aucun rôle dans la protection de la sécurité nationale des
Etats-Unis mais la simple annonce d'attaques réussies contre des satellites est préoccupante en ellemême. En principe, une fois que des pirates ont pu accéder à la gestion d'un satellite, ils pourraient le
mettre hors service ou manipuler les données qu'il transmet.
Seules quatre attaques au cours desquelles les individus malintentionnés ont eut accès à la direction du
satellite ont été enregistrées en l'espace de quelques minutes. Il semblerait que ces attaques aient pu
être menées après la violation du système informatique du centre de contrôle des satellites au sol situé
en Norvège.
Dans ce contexte, la découverte d'un virus dans les systèmes de pilotage d'un drone sur une base
américaine est encore plus étrange. Un cheval de Troie chargé de « voler les données des comptes
utilisateurs » a été découvert en septembre sur des disques amovibles et des ordinateurs d'un centre de
commande au sol de soutien aux opérations des drones à distance. Selon une source anonyme du
ministère de la Défense des Etats-Unis, le cheval de Troie visait à voler les données d'accès à plusieurs
jeux en ligne et il est probable qu'il ait fait son apparition dans le système par accident et non pas suite à
une attaque ciblée. Quoi qu'il en soit, ceci démontre une fois de plus l'insouciance vis-à-vis de la sécurité
qui est inadmissible dans les domaines où la sécurité est une question de vie ou de mort.
Classements du mois d'octobre
TOP 10 des programmes malveillants sur Internet
1
Malicious URL
82,47% =
2
Trojan.Script.Iframer
2,25%
+1
3
Trojan.Win32.Generic
1,41%
+4
4
Trojan.Script.Generic
1,18%
=
5
Exploit.Script.Generic
1,03%
+2
6
AdWare.Win32.Shopper.il
0,46%
Nouveau !
7
Trojan-Downloader.Script.Generic
0,46%
+1
8
AdWare.Win32.Eorezo.heur
0,32%
-3
9
Trojan.JS.Popupper.aw
0,27%
Nouveau !
10
AdWare.Win32.Shopper.jq
0,23%
Nouveau !
Top 10 des pays dont les ressources hébergent les programmes malveillants
1
États-Unis
25,43% =
2
Fédération de Russie
22,68% =
3
Allemagne
10,46% =
4
Pays-Bas
10,09% =
5
Ukraine
7,52%
+1
6
Royaume-Uni
4,58%
-1
7
Îles vierges britanniques
3,86%
+1
8
Chine
3,35%
-1
9
Japon
1,87%
Nouveau !
10
1,76%
Roumanie
=
Top 10 des serveurs d'hébergement malveillant
1
stats1.in
16,59 %
2
ru-download.in
8,61%
3
72.51.44.90
8,39%
4
e46l.cc
8,20%
5
adult-se.com
7,88%
6
rx-downloader.in
7,88 %
7
lxtraffic.com
5,10%
8
literedirect.com
4,75 %
9
au.imgfarm.com
4,48%
10
tizerplatform.com
3,79%
Top 10 des domaines malveillants
1
com
29549282
2
ru
11275285
3
in
3229968
4
info
2284435
5
net
2096213
6
org
1625163
7
me
1382158
8
tv
962598
9
cc
649231
10
biz
387681
Top 10 des pays dont les internautes ont été le plus exposés au risque
d'infection via Internet
1
Fédération de Russie
36,9% =
2
Arménie
33,7% =
3
Biélorussie
31,0% +1
4
Irak
30,8% +5
5
Mongolie
30,2% Nouveau !
6
Ukraine
28,8% +1
7
Soudan
27,7% +3
8
Kazakhstan
26,9% -5
9
Corée, République de
26,9% -1
10
Azerbaïdjan
26,7% -4