Des pirates s’intéressent aux employés du nucléaire américain

AlienVault et Invincea, notamment, ont récemment fait état d’une attaque visant un public très spécifique : les personnels travaillant sur le nucléaire, aux Etats-Unis, dans le domaine de l’énergie. De fait, le site Web du ministère américain de la santé a été piraté fin avril pour accueillir, sur l’une de ses pages, un logiciel malveillant. Une page bien particulière : celle qui présente les matrices d’exposition aux radiations dans les centrales nucléaires. Cette page présente notamment les compensations financières auxquelles les travailleurs concernés peuvent prétendre en cas d’affection spécifique. 

Un code spécifique sur la page compromise vérifie la présence et la version de Flash, de Java, d’Office, d’Adobe Reader, mais également d’anti-virus tels que BitDefender 2012 et Avast, pour mieux essayer de les désactiver. Il est capable de détecter Avira, McAfee Enterprise, AVG, Nod32 d’Eset, Sophos, F-Secure, Kaspersky, etc. Les informations sont remontées au serveur hébergeant le logiciel malveillant - qui n’était détecté que par 2 anti-virus sur 46 testés par Virus Total le 1er mai; il affiche désormais un ratio de détection de 26/46. Il exploite une faille d’Internet Explorer 8 inconnue jusqu’ici, dite zero-day, et encore non corrigée. Microsoft l’a reconnue et recommande de passer à IE9 ou 10. 

Pour les chercheur d’Invincea, il s’agit là d’une variante de Poison Ivy et AlienVault évoque des liens possibles avec un groupe chinois de pirates, DeepPanda. Pour Invincea, si le ministère américain de la santé a été attaqué, c’est pour, in fine, compromettre celui de l’énergie.