Michael Rosskothen - Fotolia
Shamoon fait un nouveau retour, avec des victimes en Europe
A l’été 2012, le maliciel Shamoon faisait des ravages sur les postes de travail au Moyen-Orient. Il était revenu en deux vagues fin 2016. Deux ans après, il est à nouveau de retour.
L’italien Saipem vient de l’indiquer : certains de ses serveurs installés au Moyen-Orient, en Inde, mais aussi en Ecosse et en Italie, ont été attaqués par une variante de Shamoon. Environ 300 systèmes seraient concernés. Le maliciel Shamoon est tristement célèbre depuis qu’il a rendu indisponibles 30 000 postes de travail de Saudi Aramco à la fin du mois d’août 2012 : il en avait effacé les données, jusqu’au Master Boot Record (MBR) de leurs disques durs, rendant tout redémarrage impossible. Il avait sévi de nouveau, en deux vagues, fin 2016.
Les équipes de l’unité 42 de Palo Alto Networks se sont penchées sur un échantillon déposé sur Virus Total le 10 décembre – tout en indiquant que cela ne garantit qu’il s’agisse effectivement de celui qui a frappé Saipem. Pour les chercheurs, cette nouvelle variante de Disttrack « partage une quantité de code considérable avec le maliciel utilisé dans les attaques Shamoon 2 en 2016 et 2017 ». Mais avec une différence : il n’est pas question, cette fois, d’écraser les données avec des images, mais des données générées aléatoirement. Et là, jusqu’au MBR.
Les chercheurs relèvent au passage que l’échantillon étudié ne dispose pas de capacités de réplication autonome sur le réseau local, mais « doit être chargé et exécuté sur le système visé».
Les équipes d’Anomali indiquent de leur côté que les premières identifications de ce à quoi elles font référence comme « Shamoon v3 » remontent au 5 décembre, et que l’attaque a visé « au moins une entreprise européenne du secteur du gaz et du pétrole ayant des activités au Moyen-Orient ». Tout en soulignant que « des rapports non confirmés indiquent également de possibles entités de l’industrie pétrolière des Émirats Arabes Unis ».
Les équipes de McAfee font de leur côté état d’un éventail plus large de secteurs d’activité affectés – gaz, pétrole, énergie, télécoms, et administrations –, au Moyen-Orient et en Europe du Sud. Elles soulignent en outre la présence de bugs « qui suggèrent la possibilité que cette version soit en phase bêta ou de test ».