S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Malware : le suicide de Flame et sa parenté avec Stuxnet

Rebondissement : "En fait, ils se connaissaient !"

Depuis les premières informations sur Flame, le malware n’en finit plus d’étonner. Des capacités d’adaptation très développées, un code source massif, des méthodes d’attaque à la pointe de la technologie : Flame fascine le monde de la sécurité. Plus récemment, c’est sa capacité d’autodestruction et sa filiation à Stuxnet qui ont fait l’objet d’attentions.

flame

Un ordre, un suicide collectif

On savait déjà que Flame était équipé d’une commande de suicide. Cette dernière pouvait à tout moment être émise par les serveurs C&C (Command & Control). C’est précisément ce qui s’est produit il y a environ deux semaines. L’intérêt de cet ordre était de forcer Flame à littéralement s’autodétruire. Conséquence : il disparaissait des machines sans laisser de trace, ce qui évitait aux auteurs qu’on ne remonte trop vite vers eux par accumulation de preuves et indices.

Comme expliqué par Symantec, Flame se connecte régulièrement à un serveur C&C pour récupérer des informations complémentaires. Lorsque le suicide est commandé, le malware récupère un fichier nommé browse32.ocx aux allures inoffensives. Deux éléments de ce fichier sont relatifs à la destruction de Flame : Enablebrowser, qui initialise l’environnement, dresse une liste de composants et prépare le terrain, et StartBrowse qui procède à la suppression de tout ce petit monde. Symantec publie d’ailleurs la longue liste des fichiers et dossiers effacés durant la procédure sur son blog.

flame 

Symantec note que ces informations ont pris un certain temps à être accumulées. Les éditeurs de solutions de sécurité placent des « honeypots » (pots de miel), autrement dit des pièges pour récolter des données. Le module browse32 a ainsi été récupéré le 9 mai, mais il arrive que l’éditeur ne sache pas cependant ce qu’il a récupéré dans ses filets.

Symantec précise en outre que la fonction suicide cache en elle-même un petit mystère. S’il est avéré en effet que c’est bien le fichier browse32.ocx qui contient le matériel, le code de Flame faisait déjà référence à une fonction nommée « SUICIDE ». Or, cette dernière n’est visiblement pas utilisée.

Un lien de parenté avec Stuxnet

De son côté, Kaspersky ressert également le couvert. L’éditeur annonce qu’il avait tort au sujet de Flame : il existe bien un lien de parenté avec Stuxnet, autre star des malwares en 2010. Les caractéristiques étaient très différentes, de même que les plateformes sur lesquelles ils étaient bâtis. Par exemple, Stuxnet (et Duqu) s’appuyait sur des pilotes en espace kernel comme méthode principale d’attaque, alors que Flame n’en fait pas usage.

Kaspersky indique ainsi que Stuxnet a eu plusieurs variantes. Les deux principales datent de 2009 et 2010. Entre les deux, de très nombreuses modifications du code étaient intervenues. Cela concernait en particulier un tronçon de 500 Ko, la « ressource 207 ». Dans la version 2010, cette dernière n’existait plus en tant que telle, le code ayant été dispersé dans d’autres modules. Pour l’éditeur, il s’agit précisément du chainon manquant.

La suite fait penser à l’introduction d’un film catastrophe. En octobre 2010, les systèmes automatiques de l'entreprise signalent un nouveau venu. L’analyse primaire classe alors le malware dans la catégorie Stuxnet. Les employés y regardent de plus près et ne trouvent aucune ressemblance avec ce dernier. Ils renomment alors le malware Tocy.a en pestant contre le système automatique.

Après la découverte récente de Flame, l’éditeur fouille sa base de données à la recherche d’une éventuelle correspondance. En effet, les malwares sont souvent des variantes d’autres créations plus anciennes. Stupeur : Tocy.a ressort du placard. Il se révèle être en fait de l’un des premiers modules de Flame. Mieux : le code source est pratiquement identique à celui... de la ressource 207 de Stuxnet. Ce dernier aurait alors pu être l’un des produits de la plateforme Flame et de ses multiples modules.

Ce qui, entre autres, permet à Kaspersky de tirer plusieurs conclusions. Premièrement, quand Stuxnet a été créé en janvier 2009, la plateforme Flame existait déjà, au plus tard depuis l’été 2008, et avait déjà une architecture modulaire. Deuxièmement, la version 2009 de Stuxnet était basée sur un module de Flame, probablement créé dans ce but précis. Troisièmement, le module a été retiré de la variante 2010 pour être remplacé par une nouvelle méthode de propagation.

L’éditeur note qu’après 2009, Stuxnet est devenu indépendant et a évolué séparément, loin du nid. Pour Kaspersky, deux équipes indépendantes de développeurs de malwares seraient entrées en contact et auraient collaboré un temps. Une collaboration dont serait né Stuxnet.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 12/06/2012 à 16:08

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 74 commentaires

Avatar de ngcubeur INpactien
ngcubeur Le mardi 12 juin 2012 à 17:25:30
Inscrit le lundi 5 mai 03 - 4453 commentaires


Révises un peu ta géopolitique...
Chine et Russie soutiennent l'Iran...


En dehors de tout ce qui a été dit, ça ça me fait bien rire

Quand on voit ce qu'on a déjà fait pour déclencher une guerre dans le passé... Ca m'étonnerait pas forcément que la Russie ou la Chine "attaque" l'Iran, pour créer un climat de tension, ensuite prendre la défense de l'Iran, profiter de l'augmentation du baril de pétrole qui en résulte, fournir des armes à tous les pays concernés et environnants...

Ici, ce n'est peut être pas le cas, mais se dire "ça peut pas être la Russie parce qu'ils aiment bien l'Iran", c'est être naïf
Avatar de dam1605 INpactien
dam1605 Le mardi 12 juin 2012 à 17:28:01
Inscrit le mercredi 14 janvier 09 - 694 commentaires
Mais, vous avez fini de raconter n'importe quoi?

Si mes souvenirs sont bons, stuxnet utilisait des attaques 0 day, et a infecte les centrifugeuses iraniennes qui n'etaient pas du tout connecte au net. Ils ont du utiliser des espions pour introduire physiquement le virus sur les machines.

Bref c'etait du travail de haut vol, et un opensbsd n'y aurait rien fait (il y a des 0day sur tous les OS).

Comme le dit consultant, arretez de troller, on est pas vendredi :)


Pas forcement besoin du net ni d'espion. Si le virus/ver est si bien construit qu'on le dit, il peut faire des escales avant d'atteindre sa destination.
C'est pas parce qu'un réseau n'est connecté à rien directement (et donc à forciori pas au net) qu'il n'a aucun contact avec l'exterieur.
Il suffit qu'un mec mette une clé usb contaminée au mauvais endroit....
Avatar de -DTL- INpactien
-DTL- Le mardi 12 juin 2012 à 17:28:18
Inscrit le mercredi 7 septembre 11 - 1001 commentaires

L'argument de l'OS exotique ne marche pas ici, ils savaient sur quoi tournait les centrifugeuses et auraient de toutes façons développé pour.

Ils auraient eu davantage de mal, par contre.
Mais dans l'absolu, sans connexion réseau, un windows est également inattaquable, j'ose espérer que cette connexion était indispensable ? (contrôle/prise à distance peut être ? )

Stuxnet se propageait entre autre via clé USB.
Donc c'est possible d'attaquer autrement un OS.
Sous OpenBSD tu ne peux pas monter une clé USB (par défaut) sans les droits root.
Cela limite grandement la possibilité d'attaque... à moins de connaitre le mdp root mais dans ce cas tu as un espion infiltré qui à accès à tous le système et c'est pas juste la sécurité informatique qui est à revoir.
Avatar de von-block INpactien
von-block Le mardi 12 juin 2012 à 17:28:48
Inscrit le lundi 9 janvier 06 - 995 commentaires
Non mais, vous êtes complètement aveugle.

Ce sont les États-unis qui ont créé le virus, Venant de la bouche d'Obama, comment on peut encore se demander qui l'a fait.

C'est les USA. Point barre.

ici

ici

ici

ici

ici

ici

et ici



Edité par von-block le mardi 12 juin 2012 à 17:29
Avatar de Holly Brius INpactien
Holly Brius Le mardi 12 juin 2012 à 17:32:00
Inscrit le vendredi 16 décembre 11 - 1299 commentaires

Et pan
Il te faut quoi de plus, puisque les auteurs le reconnaissent...
Tu veux une pelle pour creuser?
Avatar de -DTL- INpactien
-DTL- Le mardi 12 juin 2012 à 17:32:35
Inscrit le mercredi 7 septembre 11 - 1001 commentaires

En même temps Step7 est utilisé et ne fonction que sur Windows.
J'avais demandé aux gens de chez Siemens si une version Unix était possible, ils m'ont dit au nez

Wine existe... mais je sais pas si cela marche avec Step7.
Avatar de mr.tux INpactien
mr.tux Le mardi 12 juin 2012 à 17:32:49
Inscrit le samedi 29 juillet 06 - 867 commentaires
Ils ont du utiliser des espions pour introduire physiquement le virus sur les machines.

Pire, j'ai lu que c'était sûrement un truc tout con, style une clef USB oubliée devant un des sites.
Je vous le dis la prochaine guerre sera numérique, et des souris pourrons manger des lions grâce à leurs technologies.
Ps : ouais c'est un proverbe qui n'existe pas

Edité par mr.tux le mardi 12 juin 2012 à 17:33
Avatar de Dunaedine INpactien
Dunaedine Le mardi 12 juin 2012 à 17:34:53
Inscrit le samedi 7 janvier 06 - 15989 commentaires
Non mais, vous êtes complètement aveugle.

Ce sont les États-unis qui ont créé le virus, Venant de la bouche d'Obama, comment on peut encore se demander qui l'a fait.

C'est les USA. Point barre.

ici

ici

ici

ici

ici

ici

et ici



Je prend le premier lien:
The Times, quoting anonymous sources, reported that, in the early days of his presidency, Obama accelerated attacks related to an effort begun by the George W. Bush administration. The Stuxnet worm, long rumored to have been developed by Israel or the U.S., escaped from Iranian computers in mid-2010 and compromised computers across the Internet.


Et tous les articles successifs reprennent l'article du Times, donc des sources anonymes. Dire que cela vient de la bouche d'Obama est faux. Après les USA et/ou Israël sont clairement parmi les candidats probables (ils ont le mobile et les moyens), mais je doute qu'on en est un jour l'assurance absolue. Dans tous les cas, il n'y a pour l'instant aucune preuve.
Avatar de the_Grim_Reaper INpactien
the_Grim_Reaper Le mardi 12 juin 2012 à 17:37:32
Inscrit le mardi 6 novembre 07 - 2888 commentaires

Wine existe... mais je sais pas si cela marche avec Step7.

ils ont visiblement bloqué le fonctionnement avec Wine (oui, j'avais aussi demandé).

J'ai du passer pour un libriste intégriste fou ce jour là
Avatar de von-block INpactien
von-block Le mardi 12 juin 2012 à 17:43:38
Inscrit le lundi 9 janvier 06 - 995 commentaires


Je prend le premier lien:


Et tous les articles successifs reprennent l'article du Times, donc des sources anonymes. Dire que cela vient de la bouche d'Obama est faux. Après les USA et/ou Israël sont clairement parmi les candidats probables (ils ont le mobile et les moyens), mais je doute qu'on en est un jour l'assurance absolue. Dans tous les cas, il n'y a pour l'instant aucune preuve.


"With the leaks that these articles were based on, our enemies now know much more than they even did the day before they came out about important aspects of the nation's unconventional offensive capability and how we use them," McCain told the Senate.

Pour que McCain (ancien à la course à la présidence, c'est pas n'importe qui) traite le président d'opportuniste qui utilise les secret d'état pour mousser sa popularité....J'imagine que lui aussi il a de très bonne raison de croire que les informations sont entièrement vrai (étant donné que se sont les républicains qui aurait démarré l'initiative, c'est pas difficile à croire)



Edité par von-block le mardi 12 juin 2012 à 17:44
;