Un dangereux virus qui en rappelle un autre. X-Force, l’équipe d’IBM spécialisée dans la sécurité et le renseignement sur les menaces mondiales, a identifié un nouveau logiciel malveillant pour le moins inquiétant, rapporte ZDNet. Surnommé « ZeroCleare », ce malware partagerait de nombreuses similitudes avec un certain « Shamoon », réputé comme l’un des plus redoutables virus au monde.
Mis au jour en août 2012 par Symantec, Kaspersky Lab et Seculert, « Shamoon» a tout particulièrement frappé les raffineries pétrolières nationales d’Arabie Saoudite et du Qatar. Surtout, sa nature destructrice engendrait d’importants dégâts techniques et financiers aux entreprises touchées. Le logiciel est ensuite revenu sur le devant de la scène à deux reprises, en 2016 puis 2017.
APT34, « comme par hasard »
Si IBM ne précise pas le nom des sociétés récemment ciblées par « ZeroCleare », leur domaine d’activité n’en reste pas moins éloquent : des groupes industriels du secteur de l’énergie situés au Moyen-Orient. Surtout, la multinationale américaine n’hésite pas à attribuer l’origine de ce virus découvert le 20 septembre dernier à deux groupes de hackers soutenus et financés par le gouvernement iranien.
Les attaques qui en résultent semblent être le fruit d’une collaboration étroite entre Hive0081 et ITG13, aussi connus sous le nom d’xHunt et APT34, respectivement. Coutumier du fait, le second nommé n’en serait pas à son premier coup d’essai. Celui qui se fait aussi appeler OilRig ou MuddyWater a fait l’objet, en juin, de sérieuses suspicions liées à une série de cyberattaques menées contre l’Irak, le Pakistan et le Tadjikistan, début 2019.
Double version
Au cours de ses recherches, IBM a déniché deux versions du logiciel malveillant : l’une conçue pour les systèmes d’exploitation 32 bits, l’autre pour les OS 64 bits. Bien que la seconde soit la seule utilisée et fonctionnelle. Pour arriver à leurs fins, les hackers ont tout d’abord lancé une attaque par force brute de manière à accéder aux comptes réseau d’une entreprise faiblement sécurisée.
Ce faisant, les pirates ont alors exploité une vulnérabilité de SharePoint (outil de collaboration en équipe de Microsoft) pour installer un Web Shell, et se sont ensuite répandus sur le plus d’ordinateurs possible avant de déployer le virus « ZeroCleare ». Ce dernier a alors supprimé un grand nombre de données présent sur les ordinateurs. Une manœuvre dévastatrice pour les victimes.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !