Des Malwares originaux et sophistiqués
Date : 02 Avril 2009
Deux malwares découverts ce mois-ci ont retenu notre attention de part
leur degré de sophistication et l'originalité des équipements qu'ils
ciblent.
Ces deux malwares représentent des dangers limités mais ils nous ont paru révélateurs de l'inventivité et de la professionnalisation des cybercriminels.
Le cheval de Troie Skimer
Sophos a découvert un cheval de Troie ciblant les distributeurs automatiques de billets (DAB).
Ce cheval de Troie, baptisé Skimer et qualifié de sophistiqué par plusieurs sources, infecte les DAB du constructeur Diebold qui utilisent le système d'exploitation Microsoft Windows.
Il enregistre les données des cartes de crédit insérées dans les appareils infectés ainsi que les codes PIN entrés lors de l'authentification du propriétaire de la carte. Ces informations peuvent ensuite être utilisées pour fabriquer un duplicata illégal de la carte originale.
Les DAB n'étant généralement pas connectés à Internet, ce malware doit donc être installé par une personne ayant accès au réseau bancaire ou à la machine elle-même (compagnie de maintenance par exemple).
Pour récupérer les données dérobées, un attaquant doit ensuite utiliser le clavier du distributeur infecté pour provoquer leur impression sur un récépissé.
Ce mode de propagation explique que la diffusion de Skimer semble très restreinte, voire confidentielle. En effet, seuls quelques rares spécimens de ce malware ont été trouvés sur des DAB en Russie.
La découverte de ce cheval de Troie apporte les enseignements suivants :
Le ver Psybot
Le ver Psybot découvert par la société DroneBL (spécialisée dans la surveillance des réseaux) et signalé par Symantec cible, quant à lui, certains routeurs.
Il se propage via des attaques par force brute (identifiants/mots de passe) sur les interfaces web de routeurs basés sur une architecture MIPSel et utilisant le système d'exploitation Linux.
Une fois l'identification par force brute réussie, Psybot se réplique sur le routeur via les commandes wget ou ftpget puis il bloque les ports TCP 22 (ssh), 23 (telnet) et 80 (interface web) afin d'interdire l'accès à cet équipement par les administrateurs.
Puis il ouvre une porte dérobée sur le système infecté via un canal IRC, et se met en attente de commandes malveillantes de la part d'un serveur distant (déni de service distribué, téléchargement de code malveillant, scan de ports TCP, …).
Ce ver est intéressant vis-à-vis du type d'équipements qu'il attaque (routeurs personnels). Sa dangerosité est toutefois atténuée par la spécificité de ces équipements (architecture, système d'exploitation, interface web rarement accessible sur Internet) et surtout parce que sa propagation (attaque par force brute) est uniquement possible sur des équipements protégés par des mots de passe faibles.
Pour en savoir plus :
Skimer
Ces deux malwares représentent des dangers limités mais ils nous ont paru révélateurs de l'inventivité et de la professionnalisation des cybercriminels.
Le cheval de Troie Skimer
Sophos a découvert un cheval de Troie ciblant les distributeurs automatiques de billets (DAB).
Ce cheval de Troie, baptisé Skimer et qualifié de sophistiqué par plusieurs sources, infecte les DAB du constructeur Diebold qui utilisent le système d'exploitation Microsoft Windows.
Il enregistre les données des cartes de crédit insérées dans les appareils infectés ainsi que les codes PIN entrés lors de l'authentification du propriétaire de la carte. Ces informations peuvent ensuite être utilisées pour fabriquer un duplicata illégal de la carte originale.
Les DAB n'étant généralement pas connectés à Internet, ce malware doit donc être installé par une personne ayant accès au réseau bancaire ou à la machine elle-même (compagnie de maintenance par exemple).
Pour récupérer les données dérobées, un attaquant doit ensuite utiliser le clavier du distributeur infecté pour provoquer leur impression sur un récépissé.
Ce mode de propagation explique que la diffusion de Skimer semble très restreinte, voire confidentielle. En effet, seuls quelques rares spécimens de ce malware ont été trouvés sur des DAB en Russie.
La découverte de ce cheval de Troie apporte les enseignements suivants :
- les distributeurs automatiques de billets ne sont pas à l'abri d'attaques par du code malveillant,
- ces attaques nécessitent cependant un accès physique ou privilégié aux machines ciblées, ce qui limite fortement leur diffusion,
- le développement du code malveillant découvert a nécessité une connaissance précise du matériel et du logiciel des DAB attaqués, ce qui limite sa diffusion à une seule marque de machine. Cette information nous laisse à penser que les attaquants auraient tout aussi bien pu concevoir un malware contre des machines utilisant un système d'exploitation plus exotique que Microsoft Windows. Elle nous permet de tirer la conclusion que si les DAB utilisant Microsoft Windows sont plus vulnérables aux attaques, l'utilisation d'un autre système n'est pas une protection absolue contre les malwares.
Le ver Psybot
Le ver Psybot découvert par la société DroneBL (spécialisée dans la surveillance des réseaux) et signalé par Symantec cible, quant à lui, certains routeurs.
Il se propage via des attaques par force brute (identifiants/mots de passe) sur les interfaces web de routeurs basés sur une architecture MIPSel et utilisant le système d'exploitation Linux.
Une fois l'identification par force brute réussie, Psybot se réplique sur le routeur via les commandes wget ou ftpget puis il bloque les ports TCP 22 (ssh), 23 (telnet) et 80 (interface web) afin d'interdire l'accès à cet équipement par les administrateurs.
Puis il ouvre une porte dérobée sur le système infecté via un canal IRC, et se met en attente de commandes malveillantes de la part d'un serveur distant (déni de service distribué, téléchargement de code malveillant, scan de ports TCP, …).
Ce ver est intéressant vis-à-vis du type d'équipements qu'il attaque (routeurs personnels). Sa dangerosité est toutefois atténuée par la spécificité de ces équipements (architecture, système d'exploitation, interface web rarement accessible sur Internet) et surtout parce que sa propagation (attaque par force brute) est uniquement possible sur des équipements protégés par des mots de passe faibles.
Pour en savoir plus :
Skimer
- Analyse de Sophos : http://www.sophos.com/security/analyses/viruses-and-spyware/trojskimera.html
- Analyse de Symantec : http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-031905-5048-99
- Article de CNIS : http://www.cnis-mag.com/fr/le-premier-virus-pour-dab-un-joli-cas-decole/actualite.html
- Analyse de Symantec : http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-032400-0103-99
- Analyse de McAfee : http://vil.nai.com/vil/content/v_154392.htm
- Article de Zdnet : http://www.zdnet.fr/actualites/internet/0,39020774,39388927,00.htm
- Article de "The register" : http://www.theregister.co.uk/2009/03/24/psyb0t_home_networking_worm
