lolloj - Fotolia
Cet automne, Shamoon est revenu en deux vagues
A l’été 2012, Shamoon faisait des ravages sur les postes de travail au Moyen-Orient. Il y est revenu à l’automne dernier, en deux temps.
Début décembre, Crowdstrike, FireEye, McAfee, Palo Alto Networks et encore Symantec alertaient sur le retour de Shamoon, connu pour avoir rendu indisponibles 30 000 postes de travail de Saudi Aramco à la fin du mois d’août 2012 : il en avait effacé les données, jusqu’au Master Boot Record (MBR) de leurs disques durs, rendant tout redémarrage impossible.
Mais les nouveaux échantillons du logiciel malveillant Disttrack, observés dans l’infrastructure d’une organisation en Arabie Saoudite mi-novembre, n’étaient pas isolés. Palo Alto Networks indique ainsi avoir découvert « une charge utile similaire, mais différente, utilisée pour viser une seconde organisation en Arabie Saoudite et configurée pour effacer les systèmes le 29 novembre ». Et cette nouvelle charge utile ne manquait pas d’une certaine originalité : elle aurait pu servir à compromettre l’infrastructure VDI de l’organisation visée.
De fait, les chercheurs de l’équipementier ont trouvé 16 identifiants d’utilisateurs légitimes codés en dur dans la charge utile – utilisateurs référencés en interne ainsi qu’administrateurs. Mais ils ont également découvert des « noms d’utilisateur et mots de passe qui figurent dans la documentation officielle des produits de VDI de Huawei, dont FusionCloud, pour les comptes administrateurs ».
Comme le soulignent les chercheurs de Palo Alto Networks, Disttrack ne fonctionne pas sous Linux, sur lequel s’exécute FusionCloud. Mais pour les attaquants auraient pu vouloir en prendre le contrôle à distance pour effacer images de référence et aperçus sauvegardés des postes de travail virtuels. De quoi considérablement ralentir le processus de reconstruction après que Disttrack aurait eu accompli son œuvre.
Pour l’équipementier, viser ainsi les solutions VDI « avec des identifiants légitimes, volés ou par défaut représente une escalade dans les tactiques [des attaquants] dont les administrateurs devraient être conscients ». A charge pour eux ensuite d’évaluer le risque pour leur infrastructure et de prendre les mesures appropriées.