Sony victime d’un ver utilisant SMB

Le Cert US vient de publier une alerte détaillant le comportement du logiciel malveillant qui a fait des ravages au sein du système informatique de Sony Pictures.

Dans celle-ci, on apprend que le logiciel malveillant en question, aussi appelé Destover, se réplique en utilisant le protocole SMB, utilisé pour le partage de fichiers sous Windows, et notamment que « ce ver utilise une attaque d’authentification en force brute pour se propager via les partages SMB sous Windows. Il se connecte toutes les 5 minutes à l’infrastructure de commande et de contrôle pour envoyer ses logs s’il a réussi à se propager à un autre hôte Windows via le port 445 ».

Au programme également, toute une série de binaires chiffrés, dont « un implant d’écoute » qui se contente d’attendre d’éventuelles commandes spécifiques, mais également une porte dérobée, un outil de proxy, et bien sûr l’outil de destruction de disques durs, entre autres.

Début décembre, Kurt Baumgartner, chercheur chez Kaspersky Labs, avait déjà levé le voile sur de nombreuses caractéristiques du logiciel malveillant dont a été victime Sony Pictures, fin novembre. Il soulignait notamment les ressemblances avec d’autres, dont DarkSeoul et Shamoon, utilisé contre le groupe pétrolier Saudi Aramco.