Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



Les prédateurs sur Internet



Enquête sur un incident : vol dans une banque électronique



Livraison des diffuseurs de spam : danger garanti



Courrier indésirable en juillet 2014



Paiements en ligne : sécurité et confort
 
 

  Page d'accueil / Analyses

Evolution du Malware : Avril-Juin 2005

13.07.2005   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab

Les attaques de réseaux changent de ton

Le caractère simultané de plusieurs sérieux incidents dans la sphère de sécurité Internet, est le signe que les attaques de hackers ont évolué.

Au trimestre dernier, de grosses pointures financières telles que Bank of America, Sumitomo Bank et des cartes de paiement tels que MasterCard et Visa ont été les victimes de cyber escrocs. Sans oublier le scandale provoqué par la découverte d'un programme de Troie espion Hotworld dans les réseaux de plus de 80 sociétés en Israël et en Grande Bretagne.

L'analyse de ces attaques ainsi que d'autres incidents moins médiatisés, permettent de tirer les conclusions suivantes :

Les e-criminels refusent d'employer les méthodes d'attaques de masse via diffusion de vers de réseau ou de programmes de Troie.

Il y a plusieurs raisons à cela. Tout d'abord, l'industrie antivirus, forte d'un décennaire d'expérience de lutte contre les épidémies virales, a mis en place une infrastructure imposante de résistance. A commencer par le premier niveau de protection qui consiste à identifier plusieurs copies d'un seul et même fichier dans le trafic de courrier, phénomène synonyme de diffusion de masse, jusqu'à des niveaux de protection toujours plus complexes incluant des IDS (Intrusion Detection System) et des pare-feux. De facto, entre le moment où les premiers exemplaires du ver arrivent sur le réseau, et le moment où les bases antivirus porteuses des procédures de détection et de traitement sont éditées, le laps de temps écoulé est de une à deux heures maximum et souvent, il s'agit de quelques minutes. Cela a pour effet de diminuer drastiquement, voire annuler, l'effet des attaques malicieuses.

Deuxièmement, même s'il se fraie un passage malgré les nombreuses barrières de protection, et arrive à infecter quelques centaines de milliers d'utilisateurs, le ver a pour mission de se propager ultérieurement car ce qui compte le plus pour les criminels, c'est de collecter et d'envoyer l'information dérobée. L'analyse des programmes malicieux pratiquée par les experts antiviraux, permet de déterminer rapidement le serveur sur lequel est envoyé l'information collectée ainsi que les canaux et méthodes d'administration des machines infectées. Cela permet, si de pas ne pas arrêter les malfaiteurs, au moins de stopper leur activité malicieuse en fermant les serveurs.

Troisièmement, même si les données volées tombent dans de mauvaises mains, les malfaiteurs doivent savoir comment les utiliser pour en tirer un bénéfice. C'est loin d'être simple et le risque d'être découvert et arrêté à ce stade, augmente dangereusement.

Les e-criminels s'attaquent à des cibles bien précises et il s'agit le plus souvent de grosses pointures.

Les problèmes cités plus haut obligent les cyber-criminels à chercher d'autres procédés pour gagner de l'argent et pour voler des informations intéressantes aussi bien pour eux-mêmes que pour leurs commanditaires.

A ce stade, il convient de mettre en lumière les motifs et les buts de ces attaques. Dans un premier temps, les informations bancaires et personnelles sont visées. Numéros de cartes de crédit, numéros de carte d'assurance et autres attributs que possède un utilisateur d'appareils informatiques modernes. Ces données peuvent être utilisées par des tiers dans les buts suivants; vol d'argent depuis des comptes bancaires, contrefaçon de documents et de cartes bancaires, diverses sortes d'extorsion et de chantages.

Le deuxième aspect de ce problème, et il sera de plus en plus fréquent, est l'espionnage industriel. Information sur l'état des affaires des concurrents, leurs documents financiers, les données personnelles concernant le personnel et beaucoup d'autres. Ce qui était obtenu avant à l'aide de micros, d'appareils photos, de dictaphones, est désormais accessible en s'infiltrant dans le réseau informatique d'une société donnée.

Le lecteur doit maintenant être capable de distinguer les vols de mots de passe d'accès à Internet ou le vol de mot de passe ICQ qui se vend ensuite 5 dollars US pièce. C'est un fait d'infecter des millions de machines dans le monde entier et de leur dérober 50 000 numéros de cartes de crédit mais c'est bien autre chose que de voler des millions de numéros de carte en infectant en tout et pour tout un seul ordinateur.

Si on analyse l'incident de CarsSystem Solutions en se basant sur les données fournies par les masse media, alors on constatera quelques faits étranges:

  • Le programme espion soi-disant détecté sur le réseau de CardSystem Solutions, n'a toujours pas été communiqué aux sociétés antivirus. Dans une situation analogue avec le Trojan HotWorld – des exemplaires du programme malicieux ont été ajoutés à presque toutes les bases antivirus dans l'espace de deux jours après leur détection.
  • Il est évident qu'un tel Trojan n'était pas un sniffeur de clavier – 40 millions de numéros de cartes de crédit n'ont pas été rentrées à la main depuis le clavier de l'ordinateur infecté.
  • Pour accéder aux bases de données où étaient conservés les numéros des cartes, le trojan a du être crée en fonction du format de cette base.
  • La méthode utilisée pour exporter l'information volée hors des limites de CardSystem Solutions reste obscure.

Il est évident que l'incident se trouve au stade de l'enquête et le clair sur cette affaire ne sera pas fait dans l'immédiat. Certaines déclarations de la presse selon lesquels des pirates russes seraient derrière cette affaire laissent songeur. Ces déclarations s'appuient sur le fait que des numéros de cartes volées sont en vente sur certains sites de pirates russes. D'un autre côté, comment la presse connaît-elle les numéros des cartes volés, et, encore plus mystérieux, comment sait-elle qu'il s'agit bien des numéros volés chez CSS ?

Derrière les vols qui ont fait beaucoup parler d'eux cette année, le nouveau visage de la cybercriminalité se dessine. Une criminalité d'un autre ordre avec des personnes prêtes à dépenser des dizaines de milliers de dollars dans le but de recevoir des informations confidentielles sur l'objet attaqué. Des personnes possédant les connaissances et les méthodes requises pour contourner les différents niveaux des systèmes de sécurité et s'introduire dans les systèmes. Ces personnes ne vendent pas leurs programmes de Troie à 10 dollars US pièce et ne vendent pas les données volées sur des forums ou des sites publiques.

Ces derniers temps, nous entendons de plus en plus parler de ces effractions, elles ont effectivement considérablement augmenté. Et cette augmentation est le résultat de premières tentatives fructueuses. L'infrastructure de sécurité de grosses sociétés financières s'avère très vulnérable. Une pléthore d'ordinateurs, des réseaux et droits d'accès disparates, un régiment d'employés – autant de facteurs qui facilitent la tâche des cyber criminels. A l'intérieur d'un grand réseau, il est pratiquement impossible de trouver un programme de Troie, ce dernier se masquant habilement dans le système.

Il faut compter également avec le caractère unique de ces Trojans. Il est pratiquement impossible de créer des méthodes heuristiques de détection pour eux, étant donné que leur usage est à caractère unique, ce qui leur donne les moyens de ne jamais tomber dans les bases antivirus contrairement aux vers qui se déversent par millions dans le monde entier.

On assiste donc à l'évolution du vecteur d'attaque, ce dernier passant de l'utilisateur final aux propriétaires directs d'information susceptibles d'intéresser les criminels.

Piratage de sites

L'infiltration de programmes de Troie dans les réseaux de banque et structures gouvernementales reste l'apanage de professionnels. La très grande armée de cybercriminels « primaires » continue de s'occuper de botnets et de vol d'information à un niveau basique. Malgré les obstacles décrits ci-dessus pour les diffusions de programmes de Troie, ils se contentent toujours d'épidémies moyennes, se concentrant sur la partie des internautes non protégés et habitués à installer toutes les mises à jour pour leur systèmes d'exploitations.

Etant donné que l'organisation d'une épidémie basée sur le courrier électronique est désormais problématique et moins rentable financièrement, et que l'absence de failles utilisables dans le système d'exploitation Windows pour la création d'un ver de réseau, ne permet pas de se passer du courrier électronique, alors le cybercriminel doit assimiler de nouvelles variantes pour s'introduire dans les ordinateurs des internautes.

Concernant le danger que comportent les vulnérabilités des versions des navigateurs populaires, nous avons déjà mené des analyses dans le précédent compte-rendu trimestriel. La situation n'a toujours pas évolué et MHTML URL Processing Vulnerability est la brèche de référence pour les auteurs de virus. A noter cependant, pour que les utilisateurs soient victimes de cette faille, il faut les attirer sur le site web porteur de la vulnérabilité.

Il existe deux façons d'atteindre ce but. La première consiste à créer un site avec une page malicieuse sur n'importe quel hébergeur accessible. Puis le mallfaiteur procède à une diffusion massive de spams incitant le destinataire à aller sur ce site. La diffusion peut s'effectuer pas seulement par email, mais à l'aide d'autres moyens de communication comme les Internet pagers. C'est la méthode la plus ancienne et la plus connue. En fait de tels sites ont une courte durée de vie : les hébergeurs les ferment eux-mêmes lorsqu'ils recoivent une notification de la part de sociétés antivirus ou des organismes du maintien de l'ordre.

La deuxième méthode est relativement novatrice et repose sur le piratage d'un site web populaire. La côte de popularité du site en question joue un rôle important pour les malfaiteurs : en effet, ils n'auront pas besoin de dépenser des ressources en diffusion de spams pour promouvoir le site, puisque ce dernier doit déjà attirer un grand nombre de visiteurs.

L'objet principal des attaques devient les sites fonctionnant sur un des moteurs PHP connus (PhpBB, PhpNuke, WorldPress etc.). Cela s'explique par le fait que des vulnérabilités sont constamment trouvées dans ce type de programmes, donnant l'occasion aux malfaiteurs de rajouter des scripts sur différentes pages du site. Au mois de décembre dernier, le ver Santy a rapidement et incroyablement facilement pirater des centaines de sites. L'acte de piratage des criminels dans le cas présent ne diffère pratiquement pas de ce qu'a fait le ver Santy.

Une autre méthode avec laquelle les auteurs de programmes de Troie peuvent accéder à un site, consiste à infecter l'ordinateur du propriétaire du site ou de la société hébergeur avec accès aux comptes d'administration de ces sites.

A titre d'exemple, on peut citer toute une série de piratage de sites fonctionnant sur moteurs PHP, sur la partie russe d'Internet cette année. En général, le but des criminels était l'installation du programme de Troie espion LdPinch sur le poste des internautes.

On ouvrira une parenthèse pour mentionner le piratage à la fin du mois de mai du serveur MSN Korea. Selon les experts, entre le moment de l'effraction et la détection sur le serveur du Trojan, il se serait écoulé cinq jours. Pendant ñe laps de temps, chaque visiteur a été soumis au danger d'une infection, et quelques milliers d'infections ont effectivement eut lieu. Le programme de Troie utilisé est connu, il s'agit d'un espion, volant des comptes d'utilisateurs du jeu en ligne bien connu Lineage. Les prévisions que nous avons exposé dans notre compte-rendu trimestriel précédent, selon lesquelles les jeux en ligne et leurs souscripteurs sont une cible de choix des cyber criminels, sont bien confirmées par l'évènement MSN Korea.

Les technologies illégales de publicités

Nous continuons à suivre de très près le développement des programmes de la classe Adware. Leur rapidité et diversité sont d'un genre unique pour un ordinateur moderne. S'ils ont commencé il y a quelques années de cela avec des scripts simples et l'ouverture automatique de nombreuses fenêtres dans le navigateur, aujourd'hui de tels programmes ont définitivement passé la limite du 'indésirable' pour se transformer en programmes malicieux. Une série de programmes adware utilisent largement les technologies virales pour s'introduire et se camoufler dans le système : les vulnérabilités dans les navigateurs, les technologies de rootkit, les enregistrements de code dans les systèmes de fichiers ou la substitution à des applications système, la modification de fichiers sur l'ordinateur de l'utilisateur et bien d'autres.

Etant donné le volume du marché de la publicité Internet, il n'y a rien d'étonnant. Les spécialistes estiment qu'il s'élève à quelques milliards de dollars et une pagaille de sociétés de publicités concurrentes se dispute ce marché. Elles s'appliquent par tous les moyens à répondre à la demande et à afficher la publicité le plus souvent possible au plus grand nombre d'utilisateurs possible.

En juin 2005, nous avons détecté un programme de publicité masquant sa présence dans le système à l'aide d'un rootkit-driver. Un tel comportement était généralement caractéristique des portes dérobées. C'est un symptôme pour le moins troublant et inquiétant. Un bon nombre d'antivirus actuels ne dispose pas dans leur arsenal de défense, de méthodes de détection et suppression de rootkit dans les systèmes Windows. Il est évident que de telles méthodes ne s'assimilent pas aussi simplement. Pour détecter un rootkit dans un système, une solution antivirus doit être multifonctionnelle, capable de fonctionner aux plus bas niveaux du système d'exploitation tout en contrôlant toutes les fonctions système.

En gros, la situation avec le adware se transforme de plus en plus en lutte traditionnelle entre virus et antivirus. Plus la lutte contre le adware s'étend, plus les moyens d'atteindre l'ordinateur des internautes est subtil et illégal. Le problème ne peut être réglé uniquement par les technologies des sociétés antivirus et des sociétés spécialisées dans la lutte contre le adware. Il est indispensable d'entamer le dialogue avec les organisations commanditaires de publicités et les organisations exécutant ces commandes. N'oublions pas que de nombreux projets Internet vivent de la publicité, et Internet lui-même dépend en grande partie de ceux qui payent la publicité. Faute de quoi, on peut s'attendre à une escalade du conflit.

Le retour des technologies virales

Pendant ces 3-4 dernières années nous avons assisté à l'évanescence des virus de fichiers traditionnels. Un tel délai devrait permettre de dire que ce type de programmes malicieux, en plus d'être sur le déclin, va bientôt disparaître. Pendant cette période, il n'y a pas eu un seul virus capable de provoquer une épidémie remarquée. Les auteurs de programmes malicieux se sont attelés à l'écriture de programmes de Troie et de vers, en effet il ne s'agit pas seulement d'une façon rapide d'organiser des épidémies ou de voler des informations, mais c'est aussi une méthode beaucoup plus simple.

L'écriture d'un virus de fichier capable d'infecter des fichiers sur différentes versions de Windows exige de fortes compétences et expérience dans le domaine de la programmation. Pour ce type de virus, les procédures polymorphiques sont également l'attribut inhérent, exigeant des connaissances dans le domaine de la cryptographie et des différents algorithmes de chiffrement.

Cependant, même si aucun virus ne s'est fait remarqué pendant ces années, quelques virus crées plus tôt ont continué à vivre et à se propager lentement de par le monde sur les machines des utilisateurs. Ils sont peu nombreux, ils se comptent sur les doigts d'une main, mais ils ont tout de même été diffusés pendant toutes ces années.

Ainsi donc, la technologie de création des virus existe et personne ne l'utilise ? Cela ne pouvait pas durer éternellement. Les malfaiteurs, se confrontant sans arrêt aux technologies des éditeurs d'antivirus, n'ont d'autres choix que de chercher de nouvelles méthodes d'infiltration et de camouflage de leur présence dans le système. Une des méthodes « à la mode » sont les rootkit, suivie par la méthode de l'intégration de son code dans les systèmes de fichiers.

Dans l'étude précédente, nous avons parlé du Virus.Win32.Bube. Ce programme malicieux rajoutait son code dans le fichier Explorer.exe et, détournant les commandes sur celui-ci, lors du démarrage de IE jouait le rôle de Trojan-Downloader-à. Or, détecter et bloquer le comportement de Internet Explorer avec les moyens offerts par la majorité des pare-feux actuels, est pratiquement impossible.

L'idée fut remarquée et appréciée pour son efficacité non seulement par les experts antiviraux mais d'autres auteurs de virus. Au début de l'année, nous avons observé la recrudescence d'un type particulier de backdoor (porte dérobée). Toutes se montraient sous la forme d'un fichier légitime ou utilitaire (par exemple winrar.exe), et contenaient un code de programme de Troie. Le code Trojan était rajouté à un fichier ordinaire selon la méthode Virus EPO et obtenait la gestion en fonction du sous-programme sollicité dans le fichier principal. Pratiquement toutes ces backdoor EPO étaient des variantes diffusants des bots - Agobot, Rbot ou bien SdBot. Il est très probable que de tels fichiers (programme légitime + backdoor) ont été crées à l'aide d'un programme constructeur spécial.

Aux mois de mai juin de cette année, nous nous sommes heurtés au développement du thème de l'introduction de code de Trojan dans les systèmes de fichiers. Cette fois-ci on est tombé sur un vrai complexe de programmes malicieux. Le rôle principal de l'agent d'infection est conduit par le Trojan-Downloader.Win32.Agent.ns. Lorsqu'il arrive dans le système, en plus de télécharger d'autres programmes de Troie, il infecte la bibliothèque du système wininet.dll. Elle se voit rajouter une petite fonction qui va intercepter toutes les requêtes vers cette bibliothèque (et cela arrive tout le temps lors de surfage sur Internet) et qui tente également de télécharger sur la machine d'autres programmes malicieux. De cette façon, wininet.dll devient un virus (autrement dit, un programme infecté par un code étranger).

On donne sans doute l'impression d'appeler virus un Trojan ordinaire. Il est vrai que explorer.exe ou wininet.dll infecté n'infecteront pas d'autres fichiers dans le système. En effet, le terme traditionnel virus ne convient pas vraiment pour les exemples donnés ici. Nous avons affaire à un tout nouveau type de programmes malicieux qui utilisent les méthodes traditionnelles des virus pour infiltrer leurs codes dans le corps d'autres programmes. La seule chose qui diffère est que ce code ne se duplique pas de manière autonome. Pour le moment, nous sommes tentés de les classifier comme des sous-espèces de virus, ensemble avec l'overwritting et les virus companions. Si dans un futur proche, de tels virus se font de plus en plus nombreux (et il semble que ce soit le cas), alors il sera possible de classifier ces virus analogues dans une famille bien distincte.

Pour les utilisateurs, le contrôle de tous les nouveaux fichiers sur l'ordinateur devient très important mais des anciens également, vérifiés depuis longtemps et connus. Il n'est pas exclu que l'un d'eux ne devienne la victime d'un injecteur. En plus du contrôle des tailles du fichier, le contrôle de leur contenu est vital puisque les virus peuvent ne pas altérer la taille du fichier infecté.

'Les otages électroniques'

Lorsqu'au mois de décembre 2004, nous avons reçu les premiers exemplaires de divers fichiers, chiffrés à l'aide d'un programme de chiffrement inconnu, nous ne pouvions imaginer que dans six mois nous recevrions de tels fichiers 10 fois par jour, et que les méthodes de chiffrement utilisées atteindraient la vingtaine en une semaine.

Virus.Win32.Gpcode a ouvert une nouvelle page dans l'histoire de la cyber-crimininalité. La nouvelle méthode des programmeurs malfaisants rappelle une prise d'otages suivie d'une demande de rançon. L'abondance de lettres en provenance d'utilisateurs victimes en Russie et dans une moindre mesure de l'étranger, signifie que l'Internet se transforme en terrain propice au chantage.

Malheureusement, il faut reconnaître qu'à l'heure actuelle nous n'avons pas d'idée précise de la méthode d'infiltration de ces programmes malicieux dans le système victime. Les plus touchés sont les banques, les diverses agences de publicités et financières, les grosses sociétés, les agences immobilières et toutes autres structures importantes travaillant avec un nombre importants de documents. Parmi les victimes, on ne trouve pratiquement pas de particuliers. Les attaques sont très ciblées et on peut s'interroger sur les méthodes utlilisées. Il est possible que des diffusions en masse de spams aient été lancées sur les adresses électroniques exclusivement de société mais aucun programme de Troie n'a été détecté dans la boite électronique des victimes. Certains ordinateurs infectés ne disposent même pas de boite électronique. On peut imaginer l'infection par un exploit d'une faille dans Internet Explorer mais alors cela suppose que toutes ces societes ont visité le même site infecté.

L'emplacement géographique des victimes ne permet pas non plus de tirer une conclusion d'une épidémie locale limitée à une ville par exemple. De plus, la grande quantité de variantes différentes de programmes de chiffrement repousse la probabilité d'une seule et même infection de ces sociétés. Elles ont toutes été infectées à des périodes différentes et d'aucune source commune extérieure.

Que reste t'il dans ces cas la ? Il reste la variante de la bombe logique. Un programme à retardement placé dans un logiciel spécifique banquier ou de comptabilité, utilisé par les sociétés victimes.

Malgré le fait que le programme de chiffrage des données, une fois sa mission accomplie, se supprime dans le système, nous avons réussi à trouver quelques variantes et pouvons clairement définir son mécanisme d'action. Le programme passe successivement en revue tous les répertoires de l'ordinateur et chiffre selon un algorithme spécial tous les fichiers de documents trouvés de différents formats ainsi que les données des bases de courrier. Dans chaque répertoire contenant des fichiers chiffrés, un fichier readme.txt apparaît, dans lequel le malfaiteur indique une adresse électronique pour entrer en contact avec lui. Il propose le déchiffrement des données en échange d'une somme donnée prenant le rôle de maître chanteur. Les chaînes de texte dans les envois, les adresses de courrier électronique et les fichiers chiffés à un format spécifique à la Russie, laisse clairement apparaître que le criminel (ou le groupe) est d'origine russe.

A l'ouest également, des cas d'infection de fichiers par ce programme ont été rapporté et dans cette région du globe, les textes envoyés par l'auteur étaient en anglais. C'est encore une preuve que les attaques sont différentes sur les segments russes et étrangers.

Le plus triste dans cette histoire est que de nombreux utilisateurs ont engagé une correspondance avec le malfrat et ont payé la somme exigée par ce dernier. Ils n'ont pas seulement subi des pertes financières, ils ont aussi donné une stimulation pour continuer à créer de nouvelles versions de chiffreur et à mener des attaques ultérieures sur d'autres utilisateurs. Nous estimons qu'une telle pratique est non seulement intolérable et criminelle, mais aussi injustifiée. En effet, les algorithmes employés par les criminels sont basiques et facilement déchiffrables à l'aide d'un programme antivirus doté d'une procédure de détection et de traitement. Tout ce qu'a besoin de faire l'utilisateur, est d'envoyer le fichier chiffré à un laboratoire antivirus pour analyse. Malheureusement, certains préfèrent payer, annulant tous ses efforts de maintenance des services de sécurité et les dépenses engrangées pour la sécurité de son information.

Les experts ont déjà considéré les variantes potentielles de développement de la situation dans un futur proche, et si les organes de défense de Russie et des autres pays dans lesquelles ont été enregistré des cas de chiffrement de données, ne punissent pas sévèrement cette activité de chantage, alors on peut s'attendre à des méthodes beaucoup plus complexes de chiffrement des données et beaucoup plus d'attaques de masse de la part des criminels.

Nous appelons tous les spécialistes des organisations faisant partie de la zone à risque, à effectuer un audit méticuleux de tous leurs systèmes et programmes à la recherche d'incidents similaires. N'oublions pas l'obligation de créer régulièrement des copies de fichiers et de documents importants pour se protéger de leurs pertes en cas d'impossibilité de déchiffrage.

Les virus et la politique

Les programmes de virus contenant divers slogans politiques ou écrits dans le but de promouvoir des activités politiques ne sont pas une activité récente. Dans les années 1990 ce genre de virus émanait surtout de Russie et des pays de l'ancienne URSS. Cela s'explique facilement compte tenu de la situation politique dans ces pays à l'époque. La politisation élevée de la société s'est emparée des simples citoyens comme des auteurs de virus. Les hommes politiques sont et encensés et bafoués à l'aide de divers effets vidéo graphiques. De tels virus ont petit à petit disparus. Le dernier à s'être fait remarqué est Email-Worm.Win32.Sexer au mois d'octobre 2003. Il contenait une publicité pour l'un des candidats à la mairie de Moscou et a cessé de fonctionner dès que les élections ont pris fin.

Les auteurs de virus européens jusqu'à ces derniers temps n'ont pas fait preuve de tels engagements, se limitant aux programmes malicieux traditionnels dénués de toutes arrière-pensées politiques. La situation a depuis peu de temps évolué. Certains virus détectés contenaient des textes injurieux à l'adresse de leaders de certains pays, par exemple Email-Worm.Win32.Blare a choisi comme victime de ses attaques le premier ministre de Grande Bretagne, Tony Blair. D'autre virus ciblent le président des Etats-Unis, George Bush, et certains spéculent sur le thème de la guerre en Irak.

Mais Email-Worm.Win32.Sober fait assurément bande à part. La famille de vers Sober existe depuis un an et demi et pendant cette période, quelques variantes se sont fait remarqué de par leur contenu politique très explicite.

Au mois de mai 2005, des millions d'utilisateurs de courrier électronique en Europe de l'ouest ont reçu des messages porteurs de messages d'extrême droite. Leur contenu exprimait le point de vue de l'auteur concernant le referendum pour la constitution européenne. Ces messages étaient envoyés à l'aide d'ordinateurs infectés au préalable par le ver Sober.p – ou plus exactement la nouvelle variante Sober.q.

L'auteur du ver a scrupuleusement planifié son plan d'action. Début mai, une épidémie par Sober.p était organisée, ver qui téléchargeait sur les machines infectées un nouveau composant (Sober.q). Tout laisse à penser qu'une telle infection pour une pensée politique, à l'aide de la diffusion de programmes malicieux et diffusion de messages à travers eux, est le fait d'un seul auteur pour l'instant. Cependant, une telle méthode peut être très rapidement reprise par différents mouvements politiques, et dans ces cas-la les virus seront crées à la demande.

Le fait est que la politique peut devenir une des forces vives des cyber-menaces futures, en sont témoins les incessantes cyber-guerres qui se déroulent en Asie. La longue guerre entre les hackers indiens et pakistanais au cours de laquelle a été créé le célèbre ver Lentin (Yaha) est toujours active jusqu'à ce jour. Cette année un énième conflit politique entre la Chine et le Japon s'est déchaîné. Le désordre n'a pas eu lieu seulement dans la rue mais dans le réseau. Les hackers chinois ont attaqué plusieurs serveurs gouvernementaux du Japon à la suite de quoi certains d'entre eux étaient hors service. De tels incidents se déroulent entre la Chine et Taiwan ainsi qu'en Corée du Sud. En Russie, au cours des derniers mois, quelques attaques de ce genre ont eu lieu envers des partis politiques, et leurs opposants politiques en ont pris la responsabilité.

Le développement futur de telles tendances peut amener à de tristes conséquences. Nous nous rappelons bien qu'au cours de certaines épidémies virales, le travail de quelques structures gouvernementales ont été paralysées (par exemple le département gouvernemental des Etats-Unis ne délivrait pas de visas à cause de l'infection du ver Welchia à l'automne 2003). C'était pourtant des victimes aléatoires de l'épidémie, en effet l'attention du ver n'était pas concrètement portée vers eux. Si l'on compare ce que nous avons dit concernant les attaques ponctuelles au début de notre analyse et les messages politiques, alors ces derniers sont très différents ayant des conséquences qui peuvent influer sur la vie sociale de plusieurs pays. La différence tient au fait que dans le premier cas, les instituts financiers sont menacés et le but des criminels est purement financier, dans le deuxième cas, les organisations politiques et militaires sont visées et le but est de faire pression pour obtenir des résultats politiques satisfaisants.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com