Accueil🇫🇷Chercher

Sandworm

En informatique, Sandworm (litt. « ver de sable Â») est un logiciel malveillant qui s’infiltre à l’intérieur d’un ordinateur à l’insu de l’utilisateur. Le rôle de ce logiciel espion est d’accéder aux informations d’un ordinateur en exploitant une faille informatique présente sur la plupart des versions Windows.

Sandworm
Présentation
Type
Partie de
Sandworm (en)
Localisation
Localisation

En 2009, cette faille a été utilisée pour la première fois par un groupe de pirates informatiques provenant de Russie. Les cibles de ces cyber-espions étaient composées majoritairement d'organisations gouvernementales et d'industries de grande envergure (tels que l'OTAN et la Commission européenne)[1].

Le , iSIGHT, en collaboration avec Microsoft, a annoncé la découverte d'une vulnérabilité du jour-zéro ayant un impact dans toutes les versions de Microsoft Windows et Windows Server 2008 et 2012[2].

Mode d'opération

Méthode de transmission

Le ver informatique utilise le programme intégré de Microsoft PowerPoint pour exploiter la faille de Windows. Cette application donne l’avantage au ver d’être considéré comme inoffensif pour l’ordinateur, car il utilise entre autres des extensions de fichier permettant l’installation du programme malveillant sans notification extérieure. Les fichiers sont retrouvés sous deux formes particulières, soit[3] :

  • Le fichier slide1.gif, qui est en fait un exécutable qui prend la forme ‘‘.exe’’ lors de l’installation de PowerPoint et qui est renommé slide1.gif.exe avant d’être ajouté au registre d’entrée qui va être lancé lors de la prochaine connexion.
  • Le fichier slides.inf, où INF est l’extension Windows donnée pour spécifier l’information utilisée lors de l’installation d’un logiciel.

Le ver s’installe donc lorsque le programme PowerPoint est ouvert, ce qui crée une ouverture pour les autres produits malveillants. Cela assure donc le développement interne du ver, qui peut se servir à volonté dans les données de l’ordinateur et peut maintenant installer et télécharger d’autres fichiers nocifs sans l’avis de l’utilisateur, car il a indirectement obtenu les droits en étant exécuté. Le véritable danger est par contre le complice principal du ver de sable, BlackEnergy. Ce logiciel malveillant utilisait le ver comme clé ouvrant les portes sur les ordinateurs du monde. Ce virus très sophistiqué est utilisé pour espionner l’utilisateur et ensuite saboter les programmes et informations importantes des multiples entreprises visées[4].

Jour-zéro

Le ver de sable est très puissant en raison de sa subtilité. Il utilise une vulnérabilité du jour zéro de Windows (CVE-2014-4114). Le correctif relatif à cette vulnérabilité a été mis à disposition par Microsoft en . L’infection par le ver était automatiquement bloquée une fois le correctif appliqué, car la source du problème n’était pas le logiciel[3].

Impact

La combinaison de ce ver et du virus a eu un fort impact sur les gouvernements du Moyen-Orient et de l’occident. Après quelques recherches et retraçages, le virus avait bel et bien une origine russe et était tout droit relié au gouvernement. Avec des propriétés très complexes, ce virus présente une menace, car ce n’est par un virus ordinaire. La nouvelle technologie utilisée par les Russes fait usage d’ingéniosité, car il pouvait non seulement provoquer des dommages électroniques, mais aussi des dommages physiques. Par exemple, il pouvait faire modifier le débit des pipelines, manipuler les centres de purification d’eau, les générateurs d’énergie et d’autres infrastructures critiques causant ainsi des dommages d’envergure catastrophique. Le virus pouvait agir sur des équipements de laboratoire et aussi des armes de destruction massive, semant la peur chez les gouvernements ciblés. Après l’attaque ravageant le programme nucléaire Iranien, le duo s’est répandu ayant la possibilité de faire de nombreux dégâts[5].

Variante

La première variante découverte était également d’origine russe et était nommée Oleksiuk Dmytro. Elle avait des fonctionnalités limitées en tant qu’outil DDoS. Contrairement à ses frères, elle avait comme cible les banques et les systèmes de sécurité où elle pouvait modifier et voler les informations désirées. L’équipe du ver de sable a donc utilisé ce programme pour recueillir des informations et identifier les cibles potentielles. Elle avait alors un bon aperçu sur la situation et avait un bon contrôle informatique très ancré qui lui permettait de mettre en œuvre plusieurs attaques stratégiques et avantageuses pour le gouvernement russe. Des chercheurs ont découvert que l’utilisation du dérivé pouvait changer les informations à un point tel que les proxys et les pare-feu utilisés par les entreprises étaient déroutés. Les virus s’infiltraient sans problème et pouvaient s’intégrer au code de protection lui-même. C’est ce qui permettait au virus de prendre les informations et les données par les serveurs de contrôle. L’efficacité de l’Oleksiuk leur apportait un connaissance très détaillée des failles de sécurité et une connaissance approfondie des structures internes des réseaux[4].

Protection

La découverte de ce problème a entrainé une forte médiatisation, car le danger était relié à un programme très courant. Ayant connaissance du problème, Microsoft et la compagnie iSIGHT Partners ont donc mis à disposition la mise à jour MS14-060, permettant de colmater la faille et de réparer le logiciel de présentation PowerPoint. Le réparateur peut maintenant détecter si les fichiers sont corrompus et ainsi éviter que le ver utilise les fichiers pour s’introduire.

Les logiciels ont maintenant tous un fichier autorun.inf qui n’est aucunement modifiable par l’externe et c’est le seul fichier .inf exécuté lors de l’installation du logiciel. Les produits néfastes ne peuvent donc plus utiliser cette tactique pour s’introduire chez l’hôte[3].

Groupe de hackers

Par extension, c'est aussi le nom du groupe de hackers qui exploite le ver informatique. En 2023, les américains ont fait le lien entre le groupe de pirates et la branche cyber du GRU. En effet on avait pu observer que le groupe Sandworm n'agissait pas par pur intérêt financier mais avait toujours un intérêt stratégique derrière. Les attaques de ce groupe étaient déployées essentiellement contre l'Ukraine dans des actions de cyber-sabotage. En 2017, le groupe Sandworm est aussi responsable du déploiement du rançongiciel NotPetya qui a fait des ravages en Europe et aux États-Unis. Ils sont aussi accusés d'être à l'origine de la tentative de déstabilisation démocratique qui a eu lieu pour les élections américaines de 2016. Ainsi que pour la tentative de déstabilisation de l'élection présidentielle française de 2017. En 2020 les services secrets américains sont sûrs que le groupe Sandworm est associé à l'unité 74455, la branche cyber du GRU. En 2023 on apprend l'arrivée de Evgueni Serebriakov à la tête de Sandworm[6] - [7].

Notes et références

Voir aussi

Articles connexes

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.