Malware : le suicide de Flame et sa parenté avec Stuxnet
Rebondissement : "En fait, ils se connaissaient !"
Depuis les premières informations sur Flame, le malware n’en finit plus d’étonner. Des capacités d’adaptation très développées, un code source massif, des méthodes d’attaque à la pointe de la technologie : Flame fascine le monde de la sécurité. Plus récemment, c’est sa capacité d’autodestruction et sa filiation à Stuxnet qui ont fait l’objet d’attentions.
Comme expliqué par Symantec, Flame se connecte régulièrement à un serveur C&C pour récupérer des informations complémentaires. Lorsque le suicide est commandé, le malware récupère un fichier nommé browse32.ocx aux allures inoffensives. Deux éléments de ce fichier sont relatifs à la destruction de Flame : Enablebrowser, qui initialise l’environnement, dresse une liste de composants et prépare le terrain, et StartBrowse qui procède à la suppression de tout ce petit monde. Symantec publie d’ailleurs la longue liste des fichiers et dossiers effacés durant la procédure sur son blog.
Symantec note que ces informations ont pris un certain temps à être accumulées. Les éditeurs de solutions de sécurité placent des « honeypots » (pots de miel), autrement dit des pièges pour récolter des données. Le module browse32 a ainsi été récupéré le 9 mai, mais il arrive que l’éditeur ne sache pas cependant ce qu’il a récupéré dans ses filets.
Symantec précise en outre que la fonction suicide cache en elle-même un petit mystère. S’il est avéré en effet que c’est bien le fichier browse32.ocx qui contient le matériel, le code de Flame faisait déjà référence à une fonction nommée « SUICIDE ». Or, cette dernière n’est visiblement pas utilisée.
Kaspersky indique ainsi que Stuxnet a eu plusieurs variantes. Les deux principales datent de 2009 et 2010. Entre les deux, de très nombreuses modifications du code étaient intervenues. Cela concernait en particulier un tronçon de 500 Ko, la « ressource 207 ». Dans la version 2010, cette dernière n’existait plus en tant que telle, le code ayant été dispersé dans d’autres modules. Pour l’éditeur, il s’agit précisément du chainon manquant.
La suite fait penser à l’introduction d’un film catastrophe. En octobre 2010, les systèmes automatiques de l'entreprise signalent un nouveau venu. L’analyse primaire classe alors le malware dans la catégorie Stuxnet. Les employés y regardent de plus près et ne trouvent aucune ressemblance avec ce dernier. Ils renomment alors le malware Tocy.a en pestant contre le système automatique.
Après la découverte récente de Flame, l’éditeur fouille sa base de données à la recherche d’une éventuelle correspondance. En effet, les malwares sont souvent des variantes d’autres créations plus anciennes. Stupeur : Tocy.a ressort du placard. Il se révèle être en fait de l’un des premiers modules de Flame. Mieux : le code source est pratiquement identique à celui... de la ressource 207 de Stuxnet. Ce dernier aurait alors pu être l’un des produits de la plateforme Flame et de ses multiples modules.
Ce qui, entre autres, permet à Kaspersky de tirer plusieurs conclusions. Premièrement, quand Stuxnet a été créé en janvier 2009, la plateforme Flame existait déjà, au plus tard depuis l’été 2008, et avait déjà une architecture modulaire. Deuxièmement, la version 2009 de Stuxnet était basée sur un module de Flame, probablement créé dans ce but précis. Troisièmement, le module a été retiré de la variante 2010 pour être remplacé par une nouvelle méthode de propagation.
L’éditeur note qu’après 2009, Stuxnet est devenu indépendant et a évolué séparément, loin du nid. Pour Kaspersky, deux équipes indépendantes de développeurs de malwares seraient entrées en contact et auraient collaboré un temps. Une collaboration dont serait né Stuxnet.
Un ordre, un suicide collectif
On savait déjà que Flame était équipé d’une commande de suicide. Cette dernière pouvait à tout moment être émise par les serveurs C&C (Command & Control). C’est précisément ce qui s’est produit il y a environ deux semaines. L’intérêt de cet ordre était de forcer Flame à littéralement s’autodétruire. Conséquence : il disparaissait des machines sans laisser de trace, ce qui évitait aux auteurs qu’on ne remonte trop vite vers eux par accumulation de preuves et indices.Comme expliqué par Symantec, Flame se connecte régulièrement à un serveur C&C pour récupérer des informations complémentaires. Lorsque le suicide est commandé, le malware récupère un fichier nommé browse32.ocx aux allures inoffensives. Deux éléments de ce fichier sont relatifs à la destruction de Flame : Enablebrowser, qui initialise l’environnement, dresse une liste de composants et prépare le terrain, et StartBrowse qui procède à la suppression de tout ce petit monde. Symantec publie d’ailleurs la longue liste des fichiers et dossiers effacés durant la procédure sur son blog.
Symantec note que ces informations ont pris un certain temps à être accumulées. Les éditeurs de solutions de sécurité placent des « honeypots » (pots de miel), autrement dit des pièges pour récolter des données. Le module browse32 a ainsi été récupéré le 9 mai, mais il arrive que l’éditeur ne sache pas cependant ce qu’il a récupéré dans ses filets.
Symantec précise en outre que la fonction suicide cache en elle-même un petit mystère. S’il est avéré en effet que c’est bien le fichier browse32.ocx qui contient le matériel, le code de Flame faisait déjà référence à une fonction nommée « SUICIDE ». Or, cette dernière n’est visiblement pas utilisée.
Un lien de parenté avec Stuxnet
De son côté, Kaspersky ressert également le couvert. L’éditeur annonce qu’il avait tort au sujet de Flame : il existe bien un lien de parenté avec Stuxnet, autre star des malwares en 2010. Les caractéristiques étaient très différentes, de même que les plateformes sur lesquelles ils étaient bâtis. Par exemple, Stuxnet (et Duqu) s’appuyait sur des pilotes en espace kernel comme méthode principale d’attaque, alors que Flame n’en fait pas usage.Kaspersky indique ainsi que Stuxnet a eu plusieurs variantes. Les deux principales datent de 2009 et 2010. Entre les deux, de très nombreuses modifications du code étaient intervenues. Cela concernait en particulier un tronçon de 500 Ko, la « ressource 207 ». Dans la version 2010, cette dernière n’existait plus en tant que telle, le code ayant été dispersé dans d’autres modules. Pour l’éditeur, il s’agit précisément du chainon manquant.
La suite fait penser à l’introduction d’un film catastrophe. En octobre 2010, les systèmes automatiques de l'entreprise signalent un nouveau venu. L’analyse primaire classe alors le malware dans la catégorie Stuxnet. Les employés y regardent de plus près et ne trouvent aucune ressemblance avec ce dernier. Ils renomment alors le malware Tocy.a en pestant contre le système automatique.
Après la découverte récente de Flame, l’éditeur fouille sa base de données à la recherche d’une éventuelle correspondance. En effet, les malwares sont souvent des variantes d’autres créations plus anciennes. Stupeur : Tocy.a ressort du placard. Il se révèle être en fait de l’un des premiers modules de Flame. Mieux : le code source est pratiquement identique à celui... de la ressource 207 de Stuxnet. Ce dernier aurait alors pu être l’un des produits de la plateforme Flame et de ses multiples modules.
Ce qui, entre autres, permet à Kaspersky de tirer plusieurs conclusions. Premièrement, quand Stuxnet a été créé en janvier 2009, la plateforme Flame existait déjà, au plus tard depuis l’été 2008, et avait déjà une architecture modulaire. Deuxièmement, la version 2009 de Stuxnet était basée sur un module de Flame, probablement créé dans ce but précis. Troisièmement, le module a été retiré de la variante 2010 pour être remplacé par une nouvelle méthode de propagation.
L’éditeur note qu’après 2009, Stuxnet est devenu indépendant et a évolué séparément, loin du nid. Pour Kaspersky, deux équipes indépendantes de développeurs de malwares seraient entrées en contact et auraient collaboré un temps. Une collaboration dont serait né Stuxnet.
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 12 juin 2012 à 16:08
(77 731
lectures)
Il y a 74 commentaires
INpactien
pffff windows c pl1 de trou ca sux ... debian c tros secure c pour les roxooor
si les machines visée s'etaient trouvée sous linux ..... alors on aurait eu un virus ciblé pour linux et puis c'est tout
en dehors des failles apportée par des appli tierces, y'as pas vraiment de systemes plus sur qu'un autre
Tu installes un OpenBSD à jour, correctement configuré, sans rien d'autre d'installé que le stricte nécessaire et déconnecté de tous réseaux.
Et bien là tu as beaucoup moins de risque d'avoir un virus.
Pour rappel par défaut il ne monte même pas les clés usb.
INpactien
z'avez fini de troller ? 
INpactien
non ya aussi l'ami ricoré
[porte qui claque]
[porte qui claque]
Révises un peu ta géopolitique...
Chine et Russie soutiennent l'Iran...
Le père Noël, c'est un peu dommage à ton âge d'y croire encore...
Quand au voleur de code qui le dessasemble, comprennent tout illico juste en regardant le binaire, c'est seulement dans les série télés...
Chine et Russie soutiennent l'Iran...
Le père Noël, c'est un peu dommage à ton âge d'y croire encore...
Quand au voleur de code qui le dessasemble, comprennent tout illico juste en regardant le binaire, c'est seulement dans les série télés...
C'est presque touchant une telle vision du monde.
Bien sûr que la Chine et la Russie ont des intérêts à coopérer avec l'Iran, et vice versa, mais qu'est ce que ça change ? D'une, est ce que tu es dans le bureau de Poutine pour savoir ce qui se cache derrière les sourires de façade ? De deux, est ce que tu crois qu'une alliance (même si le mot est un peu fort ici) empêche l'espionnage d'une façon ou d'une autre ?
Et je parlais évidemment d'un vol des sources, via une fuite ou n'importe quoi d'autre, et comme d'une simple hypothèse parmi des dizaines. Mais merci quand même, je sais ce que c'est que le reverse engineering, comment ça marche et quelles sont ses limitations.
Lol, c'est la meilleur celle là. On a embauché avec clause de confidentialité de oufs les meilleurs aux USA et en Israel pour les laisser en liberté "collaborer".
Franchement la mauvaise foi n'a pas de limite ici...
Franchement la mauvaise foi n'a pas de limite ici...
D'abord, je suis étonné que tu sois au courant de l'existence de ces embauches si elles ont une "clause de confidentialité de ouf" à ce point, mais après tout je ne connais pas tes accréditations au Pentagone... non mais plus sérieusement, tu pars d'une hypothèse comme une vérité certaine, ça fausse tout.
Maintenant admettons que le virus originel était une création des Etats Unis, qu'est ce qui empêche qu'ils aient collaboré avec un autre pays ? Dans le cadre de l'OTAN, de l'ONU, d'un accord secret quelconque à ce but ? Ou même que les développeurs, une fois ce projet fini, aient été récupéré à coup de dollars par un autre gouvernement et qu'ils auraient repris les mêmes idées ?
Je ne suis pas dans les secrets d'Obama et je ne sais pas qui a fait ces deux virus, c'est peut être les Etats Unis, la France, la Russie, la Chine, l'Arabie Saoudite (qui a encore plus d'argent et encore plus de raisons de haïr l'Iran, et cette fois c'est de la géopolitique) ou n'importe qui / quoi d'autre. Seulement, je le reconnais et je trouve ça mieux que de dire "ah bah bravo Israël et les USA hihi".
INpactien
Vu l'avancé de ce virus. Tu crois réellement qu'un autre OS ce serait mieux débrouillé ?
Oui. Si tu prends un OS assez exotique (OpenBSD par exemple), et que tu as configuré le système pour qu'il présente la plus petite surface d'attaque possible (pas de connexion réseau, isolations des processus, impossibilité de monté des volumes sans les droits root, etc...)
INpactien
Mais, vous avez fini de raconter n'importe quoi?
Si mes souvenirs sont bons, stuxnet utilisait des attaques 0 day, et a infecte les centrifugeuses iraniennes qui n'etaient pas du tout connecte au net. Ils ont du utiliser des espions pour introduire physiquement le virus sur les machines.
Bref c'etait du travail de haut vol, et un opensbsd n'y aurait rien fait (il y a des 0day sur tous les OS).
On parle d'espionnage commandite par une nation, avec surement de tres gros moyens.
Ils seraient arrives a leur fin de toute facon.
Regardez ce dont les pays de l'OTAN etaient capable il y a 40 ans:
Operation Gold
Comme le dit consultant, arretez de troller, on est pas vendredi :)
Edité par xmtx le mardi 12 juin 2012 à 17:20
Si mes souvenirs sont bons, stuxnet utilisait des attaques 0 day, et a infecte les centrifugeuses iraniennes qui n'etaient pas du tout connecte au net. Ils ont du utiliser des espions pour introduire physiquement le virus sur les machines.
Bref c'etait du travail de haut vol, et un opensbsd n'y aurait rien fait (il y a des 0day sur tous les OS).
On parle d'espionnage commandite par une nation, avec surement de tres gros moyens.
Ils seraient arrives a leur fin de toute facon.
Regardez ce dont les pays de l'OTAN etaient capable il y a 40 ans:
Operation Gold
Comme le dit consultant, arretez de troller, on est pas vendredi :)
Edité par xmtx le mardi 12 juin 2012 à 17:20
INpactien
Maintenant admettons que le virus originel était une création des Etats Unis, qu'est ce qui empêche qu'ils aient collaboré avec un autre pays ? Dans le cadre de l'OTAN, de l'ONU, d'un accord secret quelconque à ce but ? Ou même que les développeurs, une fois ce projet fini, aient été récupéré à coup de dollars par un autre gouvernement et qu'ils auraient repris les mêmes idées ?
Dans le cadre de l'ONU...
Si c'est vraiment les USA ou Israël qui est derrière Flame... cela signifie que ceux qui ont développé ce malware... sont membres de la NSA (et/ou équivalent israélien)
Et si jamais ils essayent de "passer de l'autre côté"... ils finissent mal.
INpactien
dfzefsfsrg
Le mardi 12 juin 2012 à 17:19:58
#37
Inscrit
le mercredi 23 juillet 08
-
1610
commentaires
Oui. Si tu prends un OS assez exotique (OpenBSD par exemple), et que tu as configuré le système pour qu'il présente la plus petite surface d'attaque possible (pas de connexion réseau, isolations des processus, impossibilité de monté des volumes sans les droits root, etc...)
L'argument de l'OS exotique ne marche pas ici, ils savaient sur quoi tournait les centrifugeuses et auraient de toutes façons développé pour.
Ils auraient eu davantage de mal, par contre.
Mais dans l'absolu, sans connexion réseau, un windows est également inattaquable, j'ose espérer que cette connexion était indispensable ? (contrôle/prise à distance peut être ? )
INpactien
the_Grim_Reaper
Le mardi 12 juin 2012 à 17:21:02
#38
Inscrit
le mardi 6 novembre 07
-
2510
commentaires
Stuxnet a fait bien plus de dégâts aux centrifugeuses iraniennes qu'un "commando surentrainé"... de femme de ménages.
Mais bon il faut vraiment être con pour utiliser du windows pour des applications aussi critique que l’enrichissement d'uranium...
En même temps Step7 est utilisé et ne fonction que sur Windows.
J'avais demandé aux gens de chez Siemens si une version Unix était possible, ils m'ont dit au nez
Dans quelques poste en exclusivité un point god win risque de pointer son nez.
Il était déjà passé dans les premiers posts.
INpactien
Sachant que stux ne s'attaque qu'au centrifugeuse iranienne, y encore qq pour oser soutenir l'idée que ce ci n'est pas l'oeuvre d'Israel et de l'ami USA?
C'est le scénario le plus plausible, voire évident. Maintenant, quelles preuves formelles et factuelles as-tu ?
INpactien
Mais, vous avez fini de raconter n'importe quoi?
Si mes souvenirs sont bons, stuxnet utilisait des attaques 0 day, et a infecte les centrifugeuses iraniennes qui n'etaient pas du tout connecte au net. Ils ont du utiliser des espions pour introduire physiquement le virus sur les machines.
Bref c'etait du travail de haut vol, et un opensbsd n'y aurait rien fait (il y a des 0day sur tous les OS).
On parle d'espionnage commandite par une nation, avec surement de tres gros moyens.
Ils seraient arrives a leur fin de toute facon.
Regardez ce dont les pays de l'OTAN etaient capable il y a 40 ans:
Operation Gold
Comme le dit consultant, arretez de troller, on est pas vendredi :)
Si mes souvenirs sont bons, stuxnet utilisait des attaques 0 day, et a infecte les centrifugeuses iraniennes qui n'etaient pas du tout connecte au net. Ils ont du utiliser des espions pour introduire physiquement le virus sur les machines.
Bref c'etait du travail de haut vol, et un opensbsd n'y aurait rien fait (il y a des 0day sur tous les OS).
On parle d'espionnage commandite par une nation, avec surement de tres gros moyens.
Ils seraient arrives a leur fin de toute facon.
Regardez ce dont les pays de l'OTAN etaient capable il y a 40 ans:
Operation Gold
Comme le dit consultant, arretez de troller, on est pas vendredi :)
des espion ou alors il ont laisser des clef usb sur le parking et les employees on fais le reste du taff.
et à tous ceux qui parle de openBSD sans connexion réseau, super utile pour commander la central....
de toute manière l'application à été développé pour windows ya une raison
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
