Thomas Hawk
Le Cert US lance une alerte déclenchée conjointement, explique le bulletin, par le FBI et la NSA. Lesquels estiment que le groupe de « pirates d’état » présumé coréen et surnommé Hidden Cobra serait en train de cibler les secteurs de l’industrie aéronautique, les réseaux Scada et les infrastructures bancaires et financières en général. Outre une liste d’adresse IP dressant une carte des serveurs semblant être à l’origine de ce bombardement de chevaux de Troie à accès distant (RAT, ou Remote Administration Tool), le Cert US publie une analyse de la menace et encourage les administrateurs à surveiller toute activité semblant provenir des hosts 175.100.189.174 et 125.212.132.222.
Le RAT en question possède même un nom de baptême : Fallchill. Son déploiement, détecté et mesuré depuis plus d’un an, utilise plusieurs mécanismes possibles : infection via des serveurs compromis, ou injection par le biais d’un « dropper ». Le reste est assez classique, la liaison entre le C&C (centre de commande et de contrôle) est chiffrée et transite par une série de proxy destinés à brouiller toute tentative de remontée à la source.
Une fois en place, le malware récupère les caractéristiques de la machine (processeur, système, adresses IP et MAC) du disque principal, prend la main sur le démarrage et l’arrêt de certains processus, lance des exécutables, modifie le contenu et la date de certains fichiers, et efface ses traces d’intrusion.
Est-il nécessaire de préciser que la Corée du Nord, accusée par les lanceurs d’alerte de cette lèpre informatique, nie toute implication.
