Eternal Blue, Double Pulsar : les outils de la NSA ont la cote

Le rançongiciel WannaCry – désormais célèbre malgré une efficacité plus que relative –  est loin d’être le seul à utiliser les outils de la NSA rendus publics au mois d’avril. Un autre ransomware, Uiwix aurait pu s’avérer considérablement plus dangereux en l’absence, de kill switch, mais il ne se réplique pas comme en est capable un ver tel que WannaCry. 

Il faut aussi compter sur Adylkuzz, qui exploite lui aussi Eternal Blue pour se propager en profitant d’une vulnérabilité dans le protocole SMBv1, mais également Double Pulsar pour s’installer. Mais il ne s’agit pas d’un rançongiciel : Adylkuzz détourne des ressources de calcul pour générer de la cryptomonnaie. Mais Proofpoint, qui en a révélé l’existence, estime que l’étendue de la propagation pourrait être bien plus grande que celle observée avec WannaCrypt, et pourrait même avoir freiné ce dernier : « cette attaque ferme le service réseau SMB pour prévenir toute infection suivante avec un autre logiciel malveillant via la même vulnérabilité ».

Mais selon la start-up SecDo, les mises à profit de l’arsenal de l’agence américaine du renseignement n’ont clairement pas attendu WannaCry : « fin avril, certains de nos clients ont indiqué être attaqués par un ransomware indétectable », bien plus avancé en fait, que WannaCry.

Dans un billet de blog, Gil Barak, directeur technique et fondateur de cette jeune qui ambitionne de transformer la réponse à incident, détaille des attaques observées chez ses clients, organisées en trois phases. La première est la compromission initiale, soit par hameçonnage classique, soit par mise à profit d’Eternal Blue. Double Pulsar est ensuite mis à profit pour exécuter du code malicieux à partir d’un thread généré par une application légitime. Ce code malveillant fonctionne notamment comme porte dérobée ou pour l’extraction d’identifiants.

Dans un cas, l’attaque renvoie à une adresse IP en Russie ; dans l’autre, en Chine. En fait, selon Gil Barak, « au moins trois groupes différents ont mis à profit les exploits de la NSA pour infecter des réseaux d’entreprise depuis la fin avril ». Et probablement faut-il s’attendre à plus.

De son côté, Cyphort assure avoir observé des acteurs malveillants mettant à profit Eternal Blue pour déployer un cheval de Troie depuis au moins le début du mois de mai. L’attaque aurait laissé pour trace une adresse IP en Chine.

Depuis le début du mois de mai, un autre logiciel malveillant exploite l’arsenal de la NSA : EternalRocks, aussi appelé MicroBotMassiveNet, un ver se propageant via le réseau. Mais il ne contente pas de deux outils de l’agence américain du renseignement : il s’appuie sur sept d’entre eux.

Tout cela n’est potentiellement qu’un début : comme le relevait récemment l’architecte Kevin Beaumont, Enternal Blue a été porté pour les versions 64 bits de Windows 8.1 et Server 2012 R2. Et d’ajouter que des travaux seraient en cours pour Windows 10 et Server 2016. 

NEW: EternalBlue has been forwarded ported to Windows 8.1 and 2012 R2, previously unsupported platforms by @NSA https://t.co/7udRoplMBS

— Kevin Beaumont (@GossiTheDog) May 17, 2017

Pour l’heure, selon Kaspersky, WannaCry a principalement affecté des machines exécutant Windows 7, et plus particulièrement son édition professionnelle 64 bits. 

#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant. pic.twitter.com/5GhORWPQij

— Costin Raiu (@craiu) May 19, 2017

Pour les victimes, il y a toutefois un début de bonne nouvelle : l’outil WanaKiwi de Benjamin Delpy permet, dans certaines circonstances, de déchiffrer les données prises en otage. Mais il convient d’agir rapidement dès l’infection et surtout de n’avoir ni éteint, ni redémarré la machine concernée. Dérivé de l’outil WannaKey d’Adrien Guinet avec l’aide de Matt Suiche, co-fondateur de CloudVolumes, et limité à Windows XP, WannaKiwi fonctionne avec les versions 32 bits de Windows 7 et Windows 2003.