Shadow Brokers : le malware DoublePulsar de la NSA sur un nombre croissant de machines

Shadow Brokers : le malware DoublePulsar de la NSA sur un nombre croissant de machines

Le correctif existe pourtant depuis mi-mars

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

24/04/2017
6

Shadow Brokers : le malware DoublePulsar de la NSA sur un nombre croissant de machines

Des rapports mentionnent des dizaines de milliers de machines infectées par un malware de la NSA, nommé DoublePulsar. On ne sait pas encore dans quelle mesure ces chiffres sont corrects, mais les archives publiées par les pirates de Shadow Brokers donnent quelques motifs d’inquiétude.

Rappel des faits. Il y a un peu plus d’une semaine, les Shadow Brokers publiaient une archive d’environ 300 Mo contenant nombre d’outils et d’informations sur des failles de sécurité et dérobée à Equation Group, proche de la NSA.

La plupart des données concernaient Windows, mais on apprenait que Microsoft les avait corrigées en bonne partie. La question se posait d’ailleurs de savoir comment l’éditeur avait pu les colmater le mois précédent, le calendrier très serré levant bien des interrogations.

Il devenait alors légitime de craindre que d’autres pirates plongent leurs mains dans ce précieux matériel, afin de profiter des opportunités offertes. C’est précisément l’objectif poursuivi par les Shadow Brokers, en plus évidemment de vouloir rendre rapidement caduques les techniques employées par l’agence américaine de sécurité pour ses opérations.

Survient DoublePulsar

Dans la masse des outils trouvés au sein de cette archive se trouvaient des informations sur DoublePulsar, un malware servant de porte dérobée sous Windows. Un petit logiciel particulièrement discret et qui tâche de rester indétecté en ne modifiant pas le moindre fichier tant qu’il est actif. Il s’insère dans le Ring-0, autrement dit l’espace kernel de Windows. Une fois en place, il peut servir de porte d’entrée à d’autres malwares.

Or, plusieurs chercheurs et entreprises de sécurité interpellent : des dizaines de milliers de machines seraient infectées par DoublePulsar. Des chiffres qui oscillent en fait entre 30 000 et plus de 100 000, selon le script de détection utilisé.

La question se pose : comment tant d’ordinateurs peuvent-ils être infectés, les opérations de la NSA étant très ciblées ? On imagine mal l’agence se lancer dans des infections de grande envergure, à cause d’une règle simple : plus le nombre de cibles augmente, plus les chances d’être détectée augmentent. Pour une agence opérant dans la plus grande discrétion et préférant garder pour elle ses secrets, le calcul serait assez mauvais.

Des mesures qui donnent surtout des indications

Les chercheurs avertissant d’une infection massive s’accordent sur le fait qu’il existe bien une volonté de diffuser le malware. Par contre, les chiffres eux-mêmes peuvent varier assez fortement.

L'un d'entre eux, Kevin Beaumont indique par exemple qu’il existe « des milliers et des milliers de serveurs » touchés par DoublePulsar. Il précise sur son compte Twitter que les serveurs sont d’autant plus facilement infectés que les politiques de mise à jour dépendent des choix faits en interne dans les entreprises. La situation est très différente du grand public où les systèmes se mettent à jour tout seul, avertissant simplement les utilisateurs qu’il faut redémarrer.

Chez BleepingComputer, on parle de d'au moins 36 000 machines détectées comme infectées. Mais ce chiffre peut s’envoler. Chez BinaryEdge, on surveille l’évolution au cours des derniers jours. Environ 106 000 ordinateurs étaient concernés le 21 avril, 116 000 le 22 et presque 165 000 hier. À chaque fois cependant, les États-Unis semblent toujours les plus touchés.

Ces différences importantes dépendent en fait du script utilisé, qui pourrait tout aussi bien générer des faux positifs.

Il reste nécessairement des machines vulnérables

Dans tous les cas, l’implantation de DoublePulsar repose sur une vulnérabilité déjà corrigée par Microsoft dans le bulletin MS17-010. Elle a trait à SMB et permet, si exploitée, de déclencher des attaques à distance, le pirate pouvant exécuter du code de manière arbitraire.

Tous les scripts de détection commencent d’ailleurs par scanner Internet à la recherche de machines sur lesquelles est ouvert le port 445, lié à SMB. Ce port est par défaut fermé, et Microsoft ne recommande d’ailleurs pas de l’ouvrir. Si l’on en croit cependant Below0Day, une simple passe du scanner a renvoyé le chiffre inquiétant de 5 561 708 machines avec une porte grande ouverte.

Sur une telle masse, il suffit donc de considérer une hypothèse simple : ils n’ont pas tous pu être mis à jour. Même si les mécanismes de diffusion se sont largement améliorés et qu’il est devenu commun de redémarrer un système ou une application pour appliquer un patch, il existe de nombreuses raisons qui peuvent repousser cette installation. Dans le cas des serveurs, comme déjà indiqué, ce problème est encore plus sensible.

Que s’est-il passé ?

On ne peut pas parler évidemment d’une pleine génération spontanée. Il devait exister des machines déjà infectées par DoublePulsar. D’autre part, même si les faux positifs sont pris en compte, ils ne pourraient pas expliquer l’augmentation du chiffre, telle que vue notamment par Below0Day.

Dan Tentler, fondateur de la société de sécurité Phobos, a donné son avis sur la question à Ars Technica : « Les gens qui ont mis la main sur les outils ont simplement commencé à exploiter [ces failles] sur des hôtes aussi rapidement qu’ils le pouvaient ». En d’autres termes, la classique course-poursuite entre les pirates et les éditeurs concernés, les premiers cherchant à exploiter des faiblesses, les seconds à pousser les correctifs aussi vite que possible.

Mais comme on peut le voir une fois de plus, diffuser les correctifs n’est qu’une partie de la solution : si les utilisateurs et administrateurs ne les installent pas, le souci reste entier. Notez que l’éditeur a indiqué à nos confrères qu’il « doutait » des rapports apparus durant le week-end. Il enquête cependant, et pourrait donc changer d’avis dans les jours à venir. 

6

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Survient DoublePulsar

Des mesures qui donnent surtout des indications

Il reste nécessairement des machines vulnérables

Que s’est-il passé ?

Commentaires (6)


Le 24/04/2017 à 12h 12

C’est encore la faute des méchants pirates qui exploitent les failles trouvées par la gentille NSA !

La solution c’est que la NSA sécurise mieux sa bibliothèque de failles… Le monde s’en portera mieux.



<img data-src=" />


Tirnon Abonné
Le 24/04/2017 à 12h 21

C’est pourrait être aussi un bon moyen pour la NSA de noyer ses vrai cibles dans un tas de machines infectées.


meyrand018 Abonné
Le 24/04/2017 à 15h 02

et moi comment je peux savoir si ma machine est infectée ?


Le 25/04/2017 à 07h 47

Ouvre un logiciel de traitement de texte ou un bloc-notes et tapes la phrase suivante : “Coucou la NSA, m’espionnez-vous ? Merci pour la réponse, bisous.”

Ils devraient te répondre dans la foulée.


Le 25/04/2017 à 17h 34







AirTé a écrit :



Ouvre un logiciel de traitement de texte ou un bloc-notes et tapes la phrase suivante : “Coucou la NSA, m’espionnez-vous ? Merci pour la réponse, bisous.”

Ils devraient te répondre dans la foulée.





c’est valide



meyrand018 Abonné
Le 26/04/2017 à 19h 27

Ya des rigolos sur NextInpact… Autrement sur Clubic, ils donnent des éléments de réponse : http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-829164-test-ordi-espionne-nsa.html



Donc même si ce n’est pas un site que je porte dans mon coeur, je pense que ma question n’est pas si bête que ça…