La Corée du Sud, un pays hautement numérique mais mal protégé ?

Le 20 mars dernier, certains réseaux informatiques de grandes banques et de chaînes de télévision sud-coréennes ont été paralysés durant plusieurs heures à la suite de ce qui ressemble à une vaste attaque coordonnée. Symantec a identifié le cheval de Troie utilisé pour conduire cette opération. Un logiciel malveillant qui cachait notamment un outil d’effacement de disques durs, et même plusieurs variantes de celui-ci. Sur son blog, l’éditeur

explique «que trois effaceurs ont été packagés sous la forme d’exécutables PIE et un quatrième comme injection de bibliothèque à lien dynamique (DLL) ». Deux des effaceurs devaient détruire des données immédiatement à leur lancement. Un troisième devait attendre 14h, le 20 mars dernier. Un troisième, enfin, s’exécutait à 15h, le 20 mars - indépendamment de l’année. De manière assez originale, le cheval de Troie a intégré un module dédié à l’effacement des machines

sous Linux mais également AIX et HP-UX, notamment.

Une attaque peu sophistiquée Mais, in fine, l’attaque apparaît à ce stade comme relativement peu élaborée. Sophos

l’assure d’ailleurs : «ce qui est curieux, c’est que le logiciel malveillant n’est pas particulièrement sophistiqué.» Pire, «les produits Sophos sont capables de [le] détecter depuis près d’un an et les différentes commandes cachées [dedans] n’ont pas été maquillées ». Quant au processus de propagation, F-Secure

évoque la piste de l’e-mail malicieux par hameçonnage ciblé : «le logiciel malveillant dans l’archive utilise une double extension et un nom de fichier très long pour cacher sa véritable extension», une archive dont l’éditeur pense «qu’elle a été probablement transmise sous la forme de pièce jointe dans des courriels de

spear phishing ». Un point d’entrée qui a servi à des variantes pour se propager via des clients SSH «vulnérables ». La piste évoquée par F-Secure semble confirmée par Trend Micro qui

explique, sur son blog, que son service Deep Discovery «a été capable de protéger nos clients en détectant par heuristique la pièce jointe malicieuse», avant de l’exécuter dans un bac à sable.

Une origine toujours inconnue Alors que la tension venait de monter d’un cran entre les deux Corée, le doute quant à l’origine de l’attaque n’a pas manqué de pencher en la défaveur de celle du Nord. Mais Sophos estime que la faible sophistication de l’attaque ne plaide pas en faveur d’une opération menée par la Corée du Nord, bien que l’opération ait explicitement ciblé son voisin du Sud, comme l’atteste le fait que le logiciel malveillant ait désactivé deux anti-virus développés dans le pays. Dans un premier temps, les autorités sud coréennes ont indiqué qu’une adresse IP chinoise avait été détectée pour «contacter des serveurs de six organisations et entreprises affectées, et pour implanter le logiciel malveillant qui s’est attaqué à leurs ordinateurs ». La Corée du Sud s’est rapidement

rétractée, expliquant s’être trompée : la dite adresse IP relève d’un plan d’adressage utilisé en interne par l’une des entreprises touchées. Pour l’heure, la question de l’attribution de l’attaque reste donc entière mais des adresses IP en Europe et aux Etats-Unis

seraient liées à l'opération. La Corée du Sud a notamment demandé l'aide de trois pays de l'Union pour identifier les utilisateurs de ces adresses.