Aperçu de l’activité virale, mars 2012

DUQU

Notre analyse de l’histoire du cheval de Troie Duqu dure déjà depuis six mois. En mars, nous avons pu identifier le langage utilisé dans le code du framework du cheval de Troie.  Cela n’aurait pas été possible sans l’aide de la communauté des programmeurs qui nous a envoyé plusieurs centaines de versions et de propositions. 

Le framework de Duqu a été écrit en langage C et compilé à l’aide de MSVC 2008 avec les options "/O1" et "/O2". Il est plus que probable que le développement ait été réalisé à l’aide d’une extension orientée objet du langage C, présentée souvent sous le nom "OOC". L’architecture orientée événement avait été développée en tant que partie du Framework ou dans le cadre de l’extension OOC. Le code pour l’interaction avec le centre de commande et de contrôle a peut-être été emprunté à un autre projet de programmation avant d’être adapté aux tâches du projet Duqu. Nous croyons que ce développement a été confié à des professionnels qui ont utilisé des programmeurs de la vieille école. La démarche adoptée par les auteurs de Duqu est caractéristique des projets de programmation sérieux. Elle n’est pratiquement jamais invoquée dans les programmes malveillants. Cela démontre une fois de plus que Duqu et Stuxnet sont des développements uniques qui se différencient clairement de tous les autres programmes malveillants.

Quand un projet a requis autant d’investissements que le développement de Duqu et Stuxnet, il est impensable d’arrêter simplement l’opération. Un nouveau pilote, pratiquement identique à celui utilisé antérieurement dans Duqu, a été détecté dans la nature en mars.  Toutefois, les pilotes antérieurs connus avaient été créés le 3 novembre 2010 et le 17 octobre 2011 tandis que la date de création de ce nouveau pilote remonte au 23 février 2012.  Autrement dit, les auteurs de Duqu ont repris le travail après une pause de quatre mois.

Les fonctions du nouveau pilote de Duqu correspondent à celles des versions antérieures connues.  Les différences dans le code sont minimes, mais elles témoignent d’un travail continu sur la suppression des erreurs en vue d’empêcher la détection du fichier. Le module principal de Duqu associé à ce pilote n’a pas été détecté.

Le billet suivant reprend des informations détaillées sur les statistiques des victimes de Duqu et des modifications connues : http://www.securelist.com/en/blog/208193425/The_mystery_of_Duqu_Part_Ten

Lutte contre la cybercriminalité

Neutralisation du deuxième réseau de zombies Hlux/Kelihos

Kaspersky Lab, en collaboration avec CrowdStrike Intelligence Team, Dell SecureWorks et Honeynet Project, a neutralisé le deuxième réseau de zombies Hlux/Kelihos (http://www.securelist.com/en/blog/208193137/Botnet_Shutdown_Success_Story_How_Kaspersky_Lab_Disabled_the_Hlux_Kelihos_Botnet). Les experts ont baptisé ce réseau de zombies Kelihos.B et ont indiqué qu’il avait été créé à l’aide de la deuxième version modifiée du bot original.

Le 21 mars nous avons lancé le processus d’insertion d’un routeur sinkhole dans le réseau de zombies. Nous voulions que les machines infectées ne communiquent qu’avec le routeur que nous avions sélectionné. Une semaine après le début de l’opération, plus de 116 000 bots communiquaient avec notre routeur sinkhole. Ainsi, nous avons pu "arracher" la commande des bots des mains des propriétaires du réseau de zombies.

Après le début d’une opération de prise de commande d’un réseau de zombies, le propriétaire essaye en général de reprendre ses activités en lançant une nouvelle version du bot et en tentant d’attirer de nouvelles machines dans ce réseau. C’est bien ce qui s’était produit au mois de septembre après la neutralisation du premier réseau de zombies Hlux/Kelihos. Et un scénario identique s’est déroulé en mars.

La troisième version du bot (Kelihos.C) a été détectée quelques jours après le début de l’activation du sinkhole. Tout indique que les propriétaires du réseau de zombies étaient prêts à faire face à la neutralisation de leur réseau à tout moment et qu’ils avaient un plan B.  Kelihos.C, à l’instar de Kelihos.B, intégrait une modification des clés RSA, utilisées pour crypter certaines structures des messages (http://www.securelist.com/en/blog/655/Kelihos_Hlux_botnet_returns_with_new_techniques).

Vu la rapidité à laquelle les propriétaires d’un réseau de zombies peuvent lancer une nouvelle version du bot, certains experts doutent de l’efficacité de l’utilisation d’un sinkhole pour neutraliser les réseaux de zombies. Quoi qu’il en soit, nous pensons que cela complique la vie des propriétaires des réseaux de zombies qui sont forcé de consacrer leurs efforts à la diffusion d’un nouveau bot et à l’infection de nouveaux ordinateurs. De plus, tant que l’architecture et le protocole des nouvelles versions du bot ne subissent pas de trop grandes modifications, nous pouvons continuer à jouer sans crainte au chat et à la souris. On pourra parler de victoire définitive contre un réseau de zombies uniquement dans le cas de l’arrestation des auteurs de celui-ci.

Attaque contre ZeuS et ses propriétaires

Au milieu du mois de mars, Microsoft en collaboration avec l’Association pour les paiements électroniques NACHA et l’organisation non commerciale FS-ISAC qui représente les intérêts des financiers américains a lancé une nouvelle attaque contre des propriétaires de réseaux de zombies baptisée "Opération b71". Après avoir obtenu une décision favorable du tribunal, plusieurs serveurs utilisés comme centre d’administration des réseaux de zombie développés sur ZeuS les plus actifs et les plus nombreux ont été saisis.

La société Microsoft visait également à identifier les personnes impliquées dans le développement et la diffusion de ZeuS et d’autres chevaux de Troie similaires comme SpyEye et Ice-IX (ce dernier a été développé sur la base de codes sources de ZeuS divulgués).

Microsoft a ouvert des poursuites contre 39 anonymes impliqués dans la création du code malveillant et des réseaux de zombies construits sur la base de ce code. Il ne reste plus qu’à espérer que les autorités judiciaires américaines emboîtent le pas à Microsoft et que la coopération avec les autorités judiciaires d’autres pays permettra d’identifier et de juger ces individus malintentionnés.  En effet, c’est la seule solution pour réduire les pertes imposées par les chevaux de Troie bancaires. D’après les estimations de Microsoft, les dommages conjoints provoqués par ZeuS, SpyEye et Ice-IX s’élèvent déjà à près d’un demi-milliard de dollars.

Arrestation des individus malintentionnés qui utilisaient Carberp

Les autorités judiciaires russes en coopération avec les enquêteurs de Group-IB ont terminé les devoirs d’enquête sur l’activité criminelle d’un groupe d’individus qui volaient de l’argent à l’aide du célèbre cheval de Troie bancaire Carberp. D’après les données fournies par le porte-parole de la division "K", l’enquête a déterminé que le groupe était composé de huit personnes, que les victimes étaient toutes des clients d’une dizaine de banques russes et que le montant total dérobé s’élevait à près de 60 millions de roubles. L’enquête a débouché sur l’arrestation des individus malintentionnés.

L’arrestation de cybercriminels est un phénomène rare en Russie et nous ne pouvons que nous réjouir de cette nouvelle. Toutefois, cette enquête portait sur un groupe unique qui utilisait le code prêt à l’emploi de Carberp et les services d’un partenariat pour diffuser ce programme malveillant.  Le communiqué rendu public indique que parmi les personnes arrêtées se trouvaient le propriétaire du bot ainsi que les mules qui volaient l’argent dans les distributeurs automatiques de billet.  Cela veut dire que l’auteur du cheval de Troie et les propriétaires du partenariat sont toujours en liberté. Le cheval de Troie Carberp est toujours vendu sur certains forums spécialisés (http://www.securelist.com/en/blog/694/Carberp_its_not_over_yet), ce qui signifie qu’il est toujours utilisé et qu’il va être adopté par d’autres groupes. Actuellement, nous surveillons de près l’activité de plusieurs réseaux de zombies construits à l’aide de Carberp. Nous ne savons cependant pas s’ils appartiennent à un seul groupe ou à plusieurs.

Attaques menées contre des utilisateurs individuels

Attaques contre les utilisateurs

Bot "immatériel"

A la mi-mars, les spécialistes de Kaspersky Lab ont découvert une attaque unique au cours de laquelle les individus malintentionnés ont utilisé un programme malveillant capable de fonctionner sans créer de fichiers sur le système infecté.

La propagation du code malveillant a été organisée à l’aide d’un réseau d’intérêts reprenant différents sites d’informations russes. Un iframe était chargé dans un script JS sur un des sites de ce réseau, son rôle étant de renvoyer l’internaute vers un site dans la zone .EU contenant un code d’exploitation Java.

A la différence des attaques par téléchargement à la dérobée traditionnelles, le programme malveillant ne se téléchargeait pas sur le disque dur, mais fonctionnait exclusivement dans la mémoire vive de l’ordinateur. Agissant comme un bot, le programme malveillant envoyait au serveur des individus malintentionnés des requêtes et des données sur l’historique de navigation de l’utilisateur. Si les données transmises contenaient des informations relatives à l’utilisation de services bancaires par Internet, le cheval de Troie Lurk était installé sur l’ordinateur. La fonction de ce cheval de Troie était de voler les informations confidentielles des utilisateurs pour accéder aux services bancaires en lignes de plusieurs grandes banques russes.

Cette attaque visait les Internautes russes. Toutefois, nous ne pouvons exclure que ce même code d’exploitation et ce même programme "immatériel" puissent être utilisé contre les internautes d’autres pays. Ils pourraient en effet être diffusés à l’étranger via des bannières ou des réseaux d’intérêts similaires.

Nous avons rencontré pour la première fois depuis quelques années un programme malveillant rare : un programme malveillant immatériel. Ces programmes n’existent pas sous la forme d’un fichier sur le disque. Ils fonctionnent exclusivement dans la mémoire vive de l’ordinateur infecté, ce qui complique considérablement leur détection à l’aide d’un logiciel antivirus.

Bien que ces programmes immatériels ne puissent fonctionner que jusqu’au redémarrage du système d’exploitation, la probabilité que l’utilisateur visite à nouveau le site infecté est assez élevée.

Les experts de Kaspersky Lab affirment que la seule méthode de protection fiable contre les programmes malveillants qui utilisent des vulnérabilités est l’installation en temps opportuns des correctifs. Dans ce cas, pour supprimer la vulnérabilité CVE-2011-3544 dans Java, il est conseillé d’installer le correctif proposé par Oracle à l’adresse suivante :www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html.

Nouveau vol de certificats

Nous rencontrons de plus en plus souvent des programmes malveillants signés. A la mi-mars, nous avons une fois de plus détecté des programmes malveillants (http://www.securelist.com/ru/blog/207763862/Mediyes_dropper_s_validnoy_podpisyu) signés par des certificats authentiques. Il s’agissait des chevaux de Troie Mediyes.  Plusieurs fichiers de droppers, signés à différentes périodes entre décembre 2011 et le 7 mars 2012 ont été détectés. Dans tous les cas, le certificat utilisé avait été émis par la société suisse Conpavi AG. Cette société travaille avec les pouvoirs publics suisses (municipalités, cantons, etc.)

Il se peut que les individus malintentionnés aient réussi à infecter un ou plusieurs ordinateurs de cette société et à voler un certificat qui a permis ensuite de signer des fichiers malveillants. (Par exemple, le célèbre logiciel espion ZeuS possède une fonction similaire : il recherche les certificats sur l’ordinateur infecté et s’il en trouve, il les envoie à l’individu malintentionné). Que des organismes publics aient été impliqués d’une manière ou d’une autre dans ce cas ne laisse présager rien de bon : quelles sont les autres données critiques en rapport avec la gestion des municipalités qui ont pu être consultées par les individus malintentionnés ?

Mediyes enregistre son pilote dans le dossier système contenant les pilotes. Ce pilote introduit ensuite une bibliothèque malveillante dans le navigateur. Par conséquent, si l’utilisateur envoie une requête via un moteur de recherche tel que Google, Yahoo ou Bing, celle-ci est envoyée au serveur des individus malintentionnés et l’utilisateur reçoit en guise de réponse un lien du partenariat Search123 qui fonctionne selon le mode des liens sponsorisés. La bibliothèque malveillante reproduit sur ces liens les clics de l’utilisateur, ce qui permet aux individus malintentionnés de gagner de l’argent.

Extensions malveillantes pour le navigateur Chrome

Au début du mois de mars, les experts de Kaspersky Lab ont découvert une nouvelle extension malveillante pour le navigateur Google Chrome. L’attaque détectée par nos spécialistes (http://www.securelist.com/en/blog/208193414/Think_twice_before_installing_Chrome_extensions) visait les utilisateurs de Facebook au Brésil Mais rien n’empêche les individus malintentionnés d’utiliser la même méthode pour attaquer des utilisateurs dans d’autres pays. 

Des liens menant vers de prétendues applications utiles ont été diffusés sur Facebook : "Change la couleur de ta page", "Découvre qui visite ton profil" ou "Apprends comment supprimer un virus de ta page Facebook". Si l’utilisateur acceptait d’utiliser l’application, il était redirigé vers le site du magasin en ligne officiel Chrome où l’extension malveillante pour Google Chrome était présentée sous la forme d’Adobe Flash Player.

Il est difficile pour l’utilisateur lambda de comprendre toutes les finesses de la diffusion d’applications sur le site du magasin Google Chrome. L’utilisateur voit qu’il est sur le site officiel de Google et il ne s’attend pas à ce qu’un programme malveillant s’y trouve.  Le problème est qu’en réalité, tout un chacun peut publier des extensions pour Google Chrome : il suffit de posséder un compte Google. Muni d’un tel compte, l’utilisateur peut parfaitement envoyer au magasin Google Chrome l’application qu’il a créée.

Une fois que l’extension malveillante a été installée sur l’ordinateur de la victime, les individus malintentionnés ont un contrôle total sur le compte Facebook de celle-ci.  Dans le cas décrit, l’installation de l’extension sur l’ordinateur était suivie du téléchargement d’un script malveillant depuis le centre de commande de l’individu malintentionné.  Lorsque l’utilisateur accédait à sa page sur Facebook, le script malveillant s’introduisait dans le code html de la page.

Ces scripts malveillants avaient pour objectif d’augmenter le nombre de "J’aime" pour les pages désignées par l’individu malintentionné et d’afficher des messages sur la page de l’utilisateur. Parmi ces messages, il y en avait un prétendument publié par la victime qui invitait ses amis à installer l’extension malveillante.

La société Google a rapidement supprimé l’application malveillante après avoir été prévenue de son existence. Toutefois, les individus malintentionnés ont déjà créé de nouvelles extensions similaires et les diffusent de la même manière, via le magasin en ligne Chrome.

MS12-020 RDP Exploit

La société Microsoft a diffusé un nouveau correctif en mars. Il visait une vulnérabilité critique dans Microsoft Terminal Services, connu également sous le nom Remote Desktop. Cette vulnérabilité était très sérieuse. Elle appartenait à la catégorie de vulnérabilités liées à l’utilisation de la mémoire une fois que celle-ci a été libérée et se trouvait dans un code fonctionnant dans le cercle zéro : le code était exécuté sous les privilèges du système local.

C’est à Luigi Auriemma que l’on doit la découverte de cette vulnérabilité. Il avait créé un paquet de réseau qui avait mis le service Remote Desktop hors service. Il transmit les informations détaillées au service concerné de Microsoft. Le chemin suivit ensuite par ces informations demeure un mystère. On sait seulement qu’elles sont arrivées sur le réseau Internet et au lieu des simples formulaires généraux de Microsoft, les auteurs potentiels d’attaques ont obtenu un exemple de l’exploitation de cette vulnérabilité contre le service Remonte Desktop.

Très vite, des personnes désireuses de trouver un code d’exploitation opérationnel pour cette vulnérabilité ont fait leur apparition : certains étaient à la recherche d’un code d’exploitation pour mener des attaques, d’autres voulaient confirmer l’existence du code d’exploitation afin de pouvoir signaler le danger au reste du monde. Certains experts ont déjà commencé à se préparer à une épidémie de vers de réseau qui exploiterait cette vulnérabilité.

Et les développeurs de codes d’exploitation ne se sont pas fait attendre : les premières versions du code proposant un accès non autorisé à distance aux ordinateurs Windows via Remote Desktop sont apparues.

Dès le début, une de ces versions ressemblait à un tirage :

l’auteur de ce code d’exploitation serait le hacker Sabu, représentant de Lulzsec, dont certains membres l’ont accusé récemment d’avoir transmis au FBI des informations ayant permis d’arrêter certains membres du groupe.

Le code est écrit en langage Python et il utilise le module freerdp, comme on peut le voir dans le texte ci-dessus. Mais il n’existe aucun module freerdp connu du public pour Python. Il existe une réalisation libre du protocole Remote Desktop, connue sous le nom FreeRDP (http://www.freerdp.com/), mais les développeurs eux-mêmes de celle-ci ne dispose pas d’informations sur la prise en charge de freerdp sur Python.

C’était bel et bien une bonne blague. Et pas la seule.

De nouvelles versions du code d’exploitation ont fait leur apparition comme des champignons après la pluie, mais aucune d’entre elles n’a débouché sur une exécution à distance réelle du code.  On a même vu un site portant le nom évocateur de http://http://istherdpexploitoutyet.com ( y-a-t-il déjà un code d’exploitation RDP ?)

Jusqu’à présent, nous n’avons pas détecté de code d’exploitation qui pourrait entraîner l’exécution à distance d’un code via Remote Desktop. La majorité des réalisations proposées sont soit sans effet, soit ont provoqué un déni de service entraînant l’affichage de l’écran bleu de la mort.

Quoi qu’il en soit, nous conseillons à tous les utilisateurs de Microsoft Windows de vérifier s’ils utilisent Remote Desktop. S’ils utilisent ce service, il faut installer le plus vite possible le correctif de Microsoft et voir si ce service est vraiment indispensable.

Nous ne manquerons pas de signaler toute découvert d’un code d’exploitation opérationnel permettant d’exécuter du code à distance. En attendant, vous pouvez vous rendre sur le site http://rdpcheck.com afin de voir rapidement si votre serveur sur Internet est vulnérable à une éventuelle attaque RDP.

Menaces pour Mac

Au cours de ce mois, nous avons détecté une activité inhabituelle chez les programmes malveillants pour Mac OS.

L’événement le plus marquant aura sans doute été la découverte par la société AlienVault Labs (http://labs.alienvault.com/labs/index.php/2012/alienvault-research-used-as-lure-in-targeted-attacks/) d’une diffusion de courrier indésirable à l’adresse d’organisations tibétaines pour propager un lien vers le code d’exploitation JAVA Exploit.Java.CVE-2011-3544.ms. Ce code d’exploitation installe sur l’ordinateur des victimes des programmes malveillants en fonction du système d’exploitation de l’ordinateur infecté. Dans le cas des utilisateurs de Mac OS, c’est Backdoor.OSX.Laysr.a qui est installé. Sur les ordinateurs Windows, c’est Trojan.Win32.Inject.djgs (ce cheval de Troie a été signé à l’aide d’un certificat périmé octroyé par la société chinoise WoSign Code Signing Authority). Nous tenons à signaler que dans le cadre de ces attaques, les individus malintentionnés utilisaient les mêmes serveurs pour gérer les deux programmes malveillants.

Cette attaque n’est pas le seul cas où la Chine a utilisé des programmes malveillants pour s’en prendre à des organisations tibétaines.  Une semaine plus tard, un fichier DOC, détecté par Kaspersky Lab en tant que Exploit.MSWord.CVE-2009-0563.a, était diffusé dans des messages non sollicités similaires (http://labs.alienvault.com/labs/index.php/2012/ms-office-exploit-that-targets-macos-x-seen-in-the-wild-delivers-mac-control-rat/). Ce code d’exploitation infectait les ordinateurs des utilisateurs de Mac OS X avec le programme malveillant Backdoor.OSX.MaControl.a. Notez que ce programme malveillant recevait ces instructions pour les ordinateurs infectés depuis le serveur freetibet2012.xicp.net, qui se trouvait en Chine.   

Au cours du mois de mars, nous avons également détecté une nouvelle modification du programme malveillant Backdoor.OSX.Imuler, que nous avions évoqué dans le rapport (http://www.securelist.com/en/analysis/204792195/Monthly_Malware_Statistics_September_2011) consacré à l’activité virale de septembre 2011. Les programmes malveillants de cette famille sont distribués sous la forme de fichiers portant des extensions inoffensives. Dans le cadre des attaques du mois de mars, les individus malintentionnés ont diffusé par courrier indésirable des images érotiques portant l’extension .JPG et des fichiers exécutables présentés comme des images. 

Et voici une nouveauté supplémentaire du mois de mars : des programmes malveillants de la famille Trojan-Downloader.OSX.Flashfake ont commencé à utiliser (http://www.intego.com/mac-security-blog/flashback-mac-malware-uses-twitter-as-command-and-control-center/) Twitter en guise de serveur d’administration. Pour diffuser ces programmes malveillants, les individus malintentionnés ont utilisé 200 000 blogs compromis (http://community.websense.com/blogs/securitylabs/archive/2012/03/05/mass-injection-of-wordpress-sites.aspx) sous WordPress.

Menaces sur les appareils nomades

Chevaux de Troie bancaires pour Android

La découverte de la version mobile du tristement célèbre cheval de Troie ZeuS baptisée ZitMo (ZeuS-in-the-Mobile) remonte à environ 1,5 an. Le principal objectif de ce cheval de Troie était le vol des codes d’authentification de transactions mobiles (mTAN) que les banques envoient aux clients par SMS. Cette catégorie de menaces pour appareils nomades s’est développée mais jusqu’à mars 2012, nous n’avions jamais détecté de programmes malveillants pour appareils nomades qui volaient directement les données d’authentification de l’utilisateur des services de transactions bancaires sur Internet (nom d’utilisateur et mot de passe).

A la mi-mars, nous avons détecté un programme malveillant capable de voler non seulement les SMS contenant les codes mTAN, mais également les données indispensables à l’accès aux services de transactions bancaires sur Internet. Kaspersky Lab a attribué le nom Trojan-SMS.AndroidOS.Stealer.a à ce programme.

L’utilisateur qui a exécuté le programme malveillant voit apparaître une fenêtre qui doit générer des tokens. Et pour pouvoir générer ces tokens, l’utilisateur est invité à saisir sa clé, indispensable à l’autorisation initiale sur le service de transactions bancaires par Internet. Ensuite, le programme malveillant génère un faux token (un chiffre aléatoire), tandis que les données saisies par l’utilisateur sont transmises à un numéro de téléphone et au serveur distant des individus malintentionnés en même temps que l’IMEI et l’IMSI. De plus, le programme malveillant est capable d’accepter certaines instructions envoyées depuis le serveur distant (en rapport pour la plupart avec le vol de codes mTAN).

Nous nous attendions à l’apparition d’un tel programme malveillant, mais certains détails ont attiré notre attention. Tous les exemplaires du programme malveillant que nous avons pu obtenir visaient les clients de banques espagnoles. Toutefois, un des serveurs distants avec lequel le programme malveillant fonctionnait se trouvait dans la zone .ru (le nom de domaine n’est plus opérationnel pour l’instant). De plus, le numéro de téléphone auquel les données dérobées sont envoyées est un numéro russe et appartient à un opérateur régional. Ces éléments permettent dès lors d’affirmer que des auteurs de virus russe ont été impliqués dans ce projet.

Attaques contre des entreprises/des organismes gouvernementaux/des organisations

Espionnage spatial

En mars, nous avons appris la nouvelle des attaques de pirates contre des agences impliquées dans l’étude de l’espace.

Le rapport le plus intéressant concerne les incidents qui se sont produits à la NASA. Ce rapport fut présenté par l’inspecteur général de l’agence devant la Commission des sciences, de l’espace et des technologies du Congrès des Etats-Unis.  http://science.house.gov/hearing/subcommittee-investigations-and-oversight-hearing-nasa-cybersecurity-examination-agency%E2%80%99s

L’audit mené à la NASA a mis en évidence une attaque réalisée en novembre 2011 au cours de laquelle les auteurs (associés à des adresses IP chinoises) ont obtenu un accès complet au réseau du Jet Propulsion Laboratory (JPL). De plus, en 2011, la NASA a fait l’objet de 47 attaques ciblées, dont 13 ont réussi. Le total d’incidents liés à l’accès non autorisé au réseau de l’agence ou à l’intrusion de programmes malveillants s’élève à plus de 5 400 cas (de gravité diverse) en 2010 et 2011.

Outre les attaques de pirate, la NASA doit également faire face régulièrement à la perte d’ordinateurs portables contenant des informations confidentielles. Ce sont près de 50 ordinateurs portables qui ont été perdus depuis 2009, dont l’incident du mois de mars de la disparition d’un ordinateur portable contenant des informations relatives aux algorithmes de guidage de la Station spatiale internationale.

L’agence spatiale nippone (JAXA) a publié les résultats de l’enquête sur un incident survenu durant l’été 2011 mais découvert en janvier 2012 uniquement. http://www.jaxa.jp/press/2012/03/20120327_security_e.html

En juillet 2011, un employé de la JAXA a reçu un message électronique contenant un fichier indésirable. L’ordinateur n’était pas équipé d’un logiciel antivirus, ce qui a permis l’infection du système. Les auteurs de l’attaque ont obtenu l’accès à toutes les informations enregistrées sur l’ordinateur et ils auraient pu également observer à distance les informations affichées à l’écran de la victime. Heureusement, selon les informations fournies par l’agence, l’ordinateur ne contenait aucune donnée secrète. Bien que cet ordinateur avait accès à la surveillance du fonctionnement du véhicule de transfert H-II, les auteurs de l’attaque n’y ont pas eu accès.

Une analyse supplémentaire n’a pas mis en évidence l’utilisation des données d’autorisation dérobées pour accéder à d’autres systèmes de la JAXA ou de la NASA. Le vol d’une base de données contenant 1 000 adresses électroniques de l’agence n’est pas vraiment une grande perte.

Mars en chiffres

Voici le bilan mensuel de l’activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :

  • Plus de 370 millions de programmes malveillants ont été détectés et neutralisés ;
  • Parmi ceux-ci, 200 millions (55 %) étaient des tentatives d’infection via Internet ;
  • Plus de 42 millions d’URL malveillantes ont été détectées.

Menaces sur Internet – mars 2012

Ces statistiques reposent sur les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.

Pour les calculs, nous avons exclus les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.

Carte du risque d’infection pendant la navigation sur Internet

Top 10 des pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pays % * Progression
1 Fédération de Russie 55.50% 0
2 Arménie 49.30% 1
3 Kazakhstan 47.80% 1
4 Biélorussie 47.10% 1
5 Azerbaïdjan 46.30% 1
6 Ukraine 43.30% 1
7 Soudan 41.00% Nouveau !
8 Ouzbékistan 40.30%
9 Côte D’ivoire 39.90% -7
10 Bangladesh 39.40%

*Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces Internet ont été bloquées pendant la période couverte par le rapport, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Top 10 des pays dont les internautes sont le moins exposés au risque d’infection via Internet

Pays % * Progression
1 Taïwan 10.10%
2 Bénin 12.60% 1
3 Japon 12.90% -1
4 Hong Kong (région administrative spéciale de la République populaire de Chine) 12.90% 2
5 Macao (région administrative spéciale de la République populaire de Chine) 13.60% 2
6 Burkina Faso 14% Nouveau !
7 Myanmar 14.80% Nouveau !
8 Nouvelle-Zélande 15% 1
9 Porto Rico 15.30% Nouveau !
10 Danemark 15.50% -2

*Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces Internet ont été bloquées pendant la période couverte par le rapport, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Top 10 des domaines où l’on retrouve les programmes malveillants

Répartition des sources d’attaque via Internet par zone de domaine*

*Pourcentage d’attaques depuis des ressources Internet appartenant à une zone par rapport à l’ensemble des attaques détectées par l’Antivirus Internet depuis les sites de divers domaines

Top 10 des pays dont les ressources hébergent les programmes malveillants :

(Répartition mondiale des sites infectés et des hébergements malveillants)

Répartition des sources d’attaques via Internet par pays

* Pour définir la source géographique de l’attaque, nous employons une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

TOP 10 des programmes malveillants sur Internet

TOP 10 WAV March % % de l’ensemble des attaques* Progression dans le classement
1 Malicious URL 85.71% 0
2 Trojan.Script.Iframer 4.03% 0
3 Trojan.Script.Generic 2.74% 1
4 Trojan.Win32.Generic 0.30% 1
5 Trojan-Downloader.Script.Generic 0.28% -1
6 Trojan-Downloader.JS.JScript.ag 0.26% Nouveau !
7 Trojan-Downloader.JS.JScript.ai 0.19% Nouveau !
8 Trojan.JS.Popupper.aw 0.18% 2
9 Trojan.JS.Iframe.zy 0.15% Nouveau !
10 Trojan-Downloader.JS.JScript.ax 0.14% Nouveau !

* Pourcentage des incidents uniques recensés par l’Antivirus Internet sur les ordinateurs des utilisateurs.

Répartition des codes d’exploitation détectés par l’Antivirus Internet sur les ordinateurs des utilisateurs par application attaquée*

* Pourcentage de toutes les attaques des codes d’exploitation via Internet repousées

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *