Le retour de Shamoon le destructeur

C’était à l’automne 2012. Patrick Pailloux, alors patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), exprimait toute son inquiétude quant à la robustesse des systèmes de contrôle industriel (ICS/Scada) lors de l’ouverture des Assises de la Sécurité. Il prenait pour exemple les dégâts causés par Shamoon : celui-ci, ou plutôt le couteau Suisse malveillant Disttrack, avait rendu indisponibles 30 000 postes de travail de Saudi Aramco à la fin du mois d’août, effaçant leurs données, jusqu’au Master Boot Record (MBR) de leurs disques durs. Les machines affectées ne pouvaient même plus démarrer.

Le voici aujourd’hui de retour. Crowdstrike, FireEye, McAfee, Palo Alto Networks et encore Symantec sonnent le tocsin : au moins une organisation en Arabie Saoudite en a été la cible mi-novembre. Dans un billet de blog, Palo Alto Networks explique que « l’objectif des nouveaux échantillons Disttrack était seulement destructif » :  ils étaient configurés pour communiquer avec un serveur de commande et de contrôle non opérationnel et « pour commencer à effacer les données exactement le 17 novembre 2016 à 20h45 ». En fin de la semaine de travail dans le pays, qui s’étend du dimanche au jeudi depuis 2013, « pour que le logiciel malveillant ait potentiellement tout le week-end pour se répandre ».

McAfee indique de son côté ne pas connaître le vecteur d’infection initial, mais avoir « reconnu des tactiques et procédures similaires à celles découvertes en 2012 ». Les noms de fichiers utilisés sont d’ailleurs les mêmes.

FireEye précise quant à lui que le logiciel malveillant change l’horloge des machines compromises, les ramenant à l’été 2012 : « ce pourrait pour assurer que le composant qui efface le MBR et Volume Boot Record (VBR), un pilote légitime utilisé malicieusement est bien dans sa période de validité de la licence de test ». D’où son conseil : surveiller, dans son système de gestion des informations et des événements de sécurité (SIEM), les événements datés d’août 2012.

Crowdstrike relève pour sa part que les motivations précises de cette nouvelle campagne « sont actuellement floues », même si « elle coïncide avec de multiples événement géopolitiques affectant les pays du Golf ». Symantec souligne au passage une opération « minutieusement préparée ».

Les victimes de cette nouvelle campagne n’ont pas été identifiées publiquement, à l’exception d’une : selon nos confrères de Bloomberg, la direction de l’aviation civile d’Arabie Saoudite en fait partie. Mais seuls les systèmes administratifs auraient été touchés.