George Dyson: The birth of the computer
Un ver sophistiqué conçu pour dérober des secrets industriels existe depuis plus longtemps qu'on ne le pensait, selon les experts en sécurité qui enquêtaient sur le logiciel malveillant.
Appelé Stuxnet, le ver était inconnu jusqu'à la mi-juillet. il a été identifié par des enquêteurs avec VirusBlockAda, un fournisseur de sécurité basé à Minsk, en Biélorussie. Le ver est remarquable non seulement pour sa sophistication technique, mais aussi pour le fait qu'il cible les ordinateurs du système de contrôle industriel conçus pour exploiter des usines et des centrales électriques.
Maintenant, les chercheurs de Symantec disent qu'ils ont identifié une première version du le ver qui a été créé en Juin 2009, et que le logiciel malveillant a été rendu beaucoup plus sophistiqué au début de 2010.
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]Cette version antérieure de Stuxnet agit de la même manière que son incarnation actuelle - il essaie de se connecter avec les systèmes de gestion et de vol de données de Siemens SCADA (contrôle de supervision et acquisition de données) - mais n'utilise pas certaines des techniques les plus remarquables du ver pour échapper à la détection antivirus. s'installe sur les systèmes Windows. Ces fonctionnalités ont probablement été ajoutées quelques mois avant la détection du dernier ver, a déclaré Roel Schouwenberg, un chercheur du fabricant d'antivirus Kaspersky Lab. "C'est sans aucun doute l'attaque ciblée la plus sophistiquée que nous ayons vue jusqu'ici", at-il dit.
Après la création de Stuxnet, ses auteurs ont ajouté un nouveau logiciel qui permettait de se propager parmi les périphériques USB sans intervention de la victime. Et ils ont aussi réussi à mettre la main sur des clés de cryptage appartenant aux sociétés de cartes à puce Realtek et JMicron et à signer numériquement le logiciel malveillant, ce qui rendrait les scanners plus difficiles à détecter.
Realtek et JMicron ont des bureaux dans la science Hsinchu Park à Hsinchu, Taiwan, et Schouwenberg pense que quelqu'un aurait pu voler les clés en accédant physiquement aux ordinateurs des deux compagnies.
Les experts en sécurité disent que ces attaques ciblées se poursuivent depuis des années, mais elles n'ont commencé à attirer l'attention du public, après que Google a révélé qu'il avait été visé par une attaque connue sous le nom d'Aurora.
Aurora et Stuxnet tirent parti des failles "zero-day" non corrigées dans les produits Microsoft. Mais Stuxnet est plus techniquement remarquable que l'attaque de Google, a déclaré Schouwenberg. "Aurora avait un zéro-jour, mais c'était un zéro-jour contre IE6", at-il dit. "Ici, vous avez une vulnérabilité qui est efficace contre toutes les versions de Windows depuis Windows 2000."
Lundi, Microsoft a sorti un correctif précoce pour la vulnérabilité Windows que Stuxnet utilise pour se propager de système en système. Microsoft a publié la mise à jour juste au moment où le code d'attaque Stuxnet commençait à être utilisé dans des attaques plus virulentes.
Bien que Stuxnet ait pu être utilisé par un contrefacteur pour voler des secrets industriels - par exemple, Schouwenberg soupçonne qu'un État-nation était à l'origine des attaques.
À ce jour, Siemens affirme que quatre de ses clients ont été infectés par le ver.
Bien que la première version du ver ait été écrite en juin 2009, on ne sait pas si cette version a été utilisée dans une attaque du monde réel. Schouwenberg estime que la première attaque aurait pu avoir lieu dès juillet 2009. La première attaque confirmée dont Symantec est au courant remonte à janvier 2010, a déclaré Vincent Weafer, vice-président de la technologie de sécurité et de la réponse de Symantec. Il a ajouté, bien que l'Inde, l'Indonésie et le Pakistan soient également touchés. C'est en soi très inhabituel, a déclaré Weaver. "C'est la première fois en 20 ans que je me souviens que l'Iran se montre si fort."
Robert McMillan couvre la sécurité informatique et les nouvelles générales de dernière heure pour
The IDG News Service. Suivez Robert sur Twitter à @bobmcmillan. L'adresse électronique de Robert est [email protected]
Un homme a été condamné à un an d'emprisonnement pour avoir transformé les serveurs de messagerie de son ancien employeur Un gestionnaire informatique qui s'est connecté au réseau informatique de son ancien employeur cinq mois après avoir été licencié et a ouvert le serveur de messagerie aux spammeurs a été condamné à un an de prison.
Steven Barnes Il avait auparavant plaidé coupable d'intrusion informatique en disant qu'il avait accédé aux serveurs d'une société de médias Internet de San Mateo, en Californie, appelée Akimbo Systems, et avait transformé le système de messagerie de l'entreprise en un serveur de courrier ouvert que les spammers pouvaient utiliser pour envoyer des messages. . Il a également supprimé la base de données de messagerie Microsoft Exchange de l'entreprise et les fichiers dont l'ordinateur avait besoin
Le groupe de chercheurs qui suit de très près le ver et qui lutte contre lui a maintenant publié sa propre estimation de La taille de Conficker. Selon les données compilées par le Conficker Working Group, Conficker a été repéré sur un peu moins de 4,6 millions d'adresses IP uniques. Ses variantes A et B les plus anciennes représentent la part du lion - 3,4 millions d'adresses IP - avec la variante C la plus récente repérée à 1,2 million d'adresses.
Les pays mesurant le plus grand nombre d'infections pour toutes les variantes sont la Chine , Brésil et Russie
Siemens: un client allemand touché par un ver industriel
Siemens a confirmé mardi qu'un de ses clients allemands a été touché par un nouveau ver destiné à voler des secrets