Shadow Brokers : le malware DoublePulsar de la NSA sur un nombre croissant de machines

Des rapports mentionnent des dizaines de milliers de machines infectées par un malware de la NSA, nommé DoublePulsar. On ne sait pas encore dans quelle mesure ces chiffres sont corrects, mais les archives publiées par les pirates de Shadow Brokers donnent quelques motifs d’inquiétude.

Rappel des faits. Il y a un peu plus d’une semaine, les Shadow Brokers publiaient une archive d’environ 300 Mo contenant nombre d’outils et d’informations sur des failles de sécurité et dérobée à Equation Group, proche de la NSA.

La plupart des données concernaient Windows, mais on apprenait que Microsoft les avait corrigées en bonne partie. La question se posait d’ailleurs de savoir comment l’éditeur avait pu les colmater le mois précédent, le calendrier très serré levant bien des interrogations.

Il devenait alors légitime de craindre que d’autres pirates plongent leurs mains dans ce précieux matériel, afin de profiter des opportunités offertes. C’est précisément l’objectif poursuivi par les Shadow Brokers, en plus évidemment de vouloir rendre rapidement caduques les techniques employées par l’agence américaine de sécurité pour ses opérations.

Survient DoublePulsar

Dans la masse des outils trouvés au sein de cette archive se trouvaient des informations sur DoublePulsar, un malware servant de porte dérobée sous Windows. Un petit logiciel particulièrement discret et qui tâche de rester indétecté en ne modifiant pas le moindre fichier tant qu’il est actif. Il s’insère dans le Ring-0, autrement dit l’espace kernel de Windows. Une fois en place, il peut servir de porte d’entrée à d’autres malwares.

Or, plusieurs chercheurs et entreprises de sécurité interpellent : des dizaines de milliers de machines seraient infectées par DoublePulsar. Des chiffres qui oscillent en fait entre 30 000 et plus de 100 000, selon le script de détection utilisé.

La question se pose : comment tant d’ordinateurs peuvent-ils être infectés, les opérations de la NSA étant très ciblées ? On imagine mal l’agence se lancer dans des infections de grande envergure, à cause d’une règle simple : plus le nombre de cibles augmente, plus les chances d’être détectée augmentent. Pour une agence opérant dans la plus grande discrétion et préférant garder pour elle ses secrets, le calcul serait assez mauvais.

Des mesures qui donnent surtout des indications

Les chercheurs avertissant d’une infection massive s’accordent sur le fait qu’il existe bien une volonté de diffuser le malware. Par contre, les chiffres eux-mêmes peuvent varier assez fortement.

L'un d'entre eux, Kevin Beaumont indique par exemple qu’il existe « des milliers et des milliers de serveurs » touchés par DoublePulsar. Il précise sur son compte Twitter que les serveurs sont d’autant plus facilement infectés que les politiques de mise à jour dépendent des choix faits en interne dans les entreprises. La situation est très différente du grand public où les systèmes se mettent à jour tout seul, avertissant simplement les utilisateurs qu’il faut redémarrer.

Thousands upon thousands of servers are implanted with Equation Group implant DoublePulsar kernel implant right now.

— Kevin Beaumont (@GossiTheDog) 21 avril 2017

Chez BleepingComputer, on parle de d'au moins 36 000 machines détectées comme infectées. Mais ce chiffre peut s’envoler. Chez BinaryEdge, on surveille l’évolution au cours des derniers jours. Environ 106 000 ordinateurs étaient concernés le 21 avril, 116 000 le 22 et presque 165 000 hier. À chaque fois cependant, les États-Unis semblent toujours les plus touchés.

Ces différences importantes dépendent en fait du script utilisé, qui pourrait tout aussi bien générer des faux positifs.

Il reste nécessairement des machines vulnérables

Dans tous les cas, l’implantation de DoublePulsar repose sur une vulnérabilité déjà corrigée par Microsoft dans le bulletin MS17-010. Elle a trait à SMB et permet, si exploitée, de déclencher des attaques à distance, le pirate pouvant exécuter du code de manière arbitraire.

Tous les scripts de détection commencent d’ailleurs par scanner Internet à la recherche de machines sur lesquelles est ouvert le port 445, lié à SMB. Ce port est par défaut fermé, et Microsoft ne recommande d’ailleurs pas de l’ouvrir. Si l’on en croit cependant Below0Day, une simple passe du scanner a renvoyé le chiffre inquiétant de 5 561 708 machines avec une porte grande ouverte.

Sur une telle masse, il suffit donc de considérer une hypothèse simple : ils n’ont pas tous pu être mis à jour. Même si les mécanismes de diffusion se sont largement améliorés et qu’il est devenu commun de redémarrer un système ou une application pour appliquer un patch, il existe de nombreuses raisons qui peuvent repousser cette installation. Dans le cas des serveurs, comme déjà indiqué, ce problème est encore plus sensible.

Que s’est-il passé ?

On ne peut pas parler évidemment d’une pleine génération spontanée. Il devait exister des machines déjà infectées par DoublePulsar. D’autre part, même si les faux positifs sont pris en compte, ils ne pourraient pas expliquer l’augmentation du chiffre, telle que vue notamment par Below0Day.

Dan Tentler, fondateur de la société de sécurité Phobos, a donné son avis sur la question à Ars Technica : « Les gens qui ont mis la main sur les outils ont simplement commencé à exploiter [ces failles] sur des hôtes aussi rapidement qu’ils le pouvaient ». En d’autres termes, la classique course-poursuite entre les pirates et les éditeurs concernés, les premiers cherchant à exploiter des faiblesses, les seconds à pousser les correctifs aussi vite que possible.

Mais comme on peut le voir une fois de plus, diffuser les correctifs n’est qu’une partie de la solution : si les utilisateurs et administrateurs ne les installent pas, le souci reste entier. Notez que l’éditeur a indiqué à nos confrères qu’il « doutait » des rapports apparus durant le week-end. Il enquête cependant, et pourrait donc changer d’avis dans les jours à venir.