Gauss : Kaspersky demande de l'aide aux cryptologues

Help, I need somebody help..

Nous avons consacré en début de semaine un long article consacré à Gauss, nouveau venu dans la famille des malwares de type Stuxnet et Flame. Au centre de ce cheval de Troie se trouve un module dont le fonctionnement est inconnu, car entièrement chiffré. Kaspersky lance de fait un appel aux cryptologues du monde entier.

gauss

L’une des particularités de Gauss est qu’il peut copier sur une clé USB un module conçu pour s’exécuter trente fois avant de s’auto-détruire. L’action précise est inconnue, même si Kaspersky a observé des mécanismes de réplication qui montrent que Gauss cherche à se répliquer, tout en ignorant les actions réellement menées. En outre, ce module semblerait ne s’exécuter qu’en fonction de paramètres qui, eux non plus, ne sont pas connus.

Dans un nouveau billet, l’éditeur russe indique avoir tenté la méthode de force brute pour percer le chiffrement des données. Des millions de combinaisons ont été essayées, mais la société avoue désormais que cette méthode ne mène à rien. Elle se penche désormais sur le système de chiffrement lui-même, dont elle estime qu’il a été conçu pour déjouer les systèmes SCADA (Supervisory Control And Data Acquisition), utilisés dans certaines infrastructures critiques telles que les raffineries de pétrole.

Kaspersky indique du coup sur son blog : « Bien entendu, il est désormais évident qu’il n’est pas possible de casser le chiffrement avec une simple attaque par force brute. Nous demandons à tous ceux qui sont intéressés par la cassure de ce code et par la découverte du fonctionnement du module de nous rejoindre. »

Pour l’éditeur, il est cependant évident que Gauss a été conçu pour des cibles hautement stratégiques. Stuxnet lui aussi pouvait déjouer les systèmes SCADA. C’est la raison pour laquelle l’aide des cryptologues a été demandée : pour découvrir le fonctionnement exact du module, les méthodes d’infection complète et en apprendre tout simplement plus sur les auteurs.

Tous ceux qui pensent être capables de fournir de l’aide à ce sujet pourront envoyer un email à l’adresse theflame@kaspersky.com.

Source : Kaspersky

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Twitter

Le 15 août 2012 à 09:18 (40 161 lectures)

Actu Précédente Actu Suivante

Il y a 130 commentaires

INpactien

killer63 Le mercredi 15 août 2012 à 09:36:54 #1

Inscrit le jeudi 11 décembre 08 - 1011 commentaires

ben même si les fabricants d'antivirus n'arrivent plus à se débarrasser de ces derniers, on est pas dans la merde

INpactien

after_burner Le mercredi 15 août 2012 à 09:47:02 #2

Inscrit le mercredi 16 juillet 08 - 6037 commentaires

killer63 a écrit :

ben même si les fabricants d'antivirus n'arrivent plus à se débarrasser de ces derniers, on est pas dans la merde

Bof, ça passera pas le windows store ça normalement.

INpactien

Takoon Le mercredi 15 août 2012 à 09:47:14 #3

Inscrit le dimanche 31 juillet 11 - 908 commentaires

Nous demandons à tous ceux qui sont intéressés par la cassure de ce code et par la découverte du fonctionnement du module de nous rejoindre.

Un nouveau projet BOINC ?

INpactien

DahoodG4 Le mercredi 15 août 2012 à 09:56:19 #4

Inscrit le mardi 1 février 05 - 609 commentaires

Distributed.net powa

INpactien

Schopenahouaih Le mercredi 15 août 2012 à 10:08:19 #5

Inscrit le mardi 16 août 11 - 541 commentaires

Pour leur part, les victimes de ce cheval de Troie demanderaient, selon des sources officieuses, l'aide d'un proctologue.

INpactienne

TexMex Le mercredi 15 août 2012 à 10:11:48 #6

Inscrite le samedi 6 janvier 07 - 1237 commentaires

killer63 a écrit :

ben même si les fabricants d'antivirus n'arrivent plus à se débarrasser de ces derniers, on est pas dans la merde

Se débarrasser n'est pas le problème. C'est de savoir comment il agit pour mieux "prévenir" les infections. Au même titre que ton système immunitaire; dès qu'il détecte un intrus ou des signes de celui ci, il produit la réponse appropriée. C'est mieux de le tuer aux frontière plutôt qu'au cœur d'un système.

Je trouve ça bizarre tout de même. Si le code s'exécute à un moment ou à un autre, il est donc compréhensible par la machine (ou le moteur de script) et c'est donc qu'il a été décrypté à un moment donné... Il faut un lecteur qui comprenne les instructions à exécuter... ...enfin.

INpactien

metaphore54 Le mercredi 15 août 2012 à 10:22:56 #7

Inscrit le mercredi 29 avril 09 - 4596 commentaires

killer63 a écrit :

ben même si les fabricants d'antivirus n'arrivent plus à se débarrasser de ces derniers, on est pas dans la merde

Bof, bit defender propose déjà un outil.

Bitdefender a été rapide à proposer un outil de désinfection qu’il propose gratuitement au téléchargement.

Source

INpactien

Guinnness Le mercredi 15 août 2012 à 10:28:41 #8

Inscrit le mardi 26 octobre 10 - 985 commentaires

TexMex a écrit :

Je trouve ça bizarre tout de même. Si le code s'exécute à un moment ou à un autre, il est donc compréhensible par la machine (ou le moteur de script) et c'est donc qu'il a été décrypté à un moment donné... Il faut un lecteur qui comprenne les instructions à exécuter... ...enfin.

Globalement d'accord, si le code s’exécute sur la machine c'est qu'il se trouve forcément sous forme décompressée quelquepart dans la mémoire de la machine. (ou alors le virus charge aussi son propre interpréteur capable de comprendre directement le code compressé/chiffré ce qui est aussi possible)

Après j'imagine que si une boite comme Kasperky se casse les dents là dessus c'est que ça doit être "un peu" plus compliqué que ça

C'est qu'il doit y avoir des sacrés cadors dans les services informatiques des états qui ont mis ce truc au point

(arrivé à ce niveau de sophistication on va pas me faire croire que c'est Kevin 13 ans qui a bricolé ça vite fait en vbscript dans son coin)

Edité par guinnness le mercredi 15 août 2012 à 10:30