Stuxnet : les logs avouent sous la torture

Actualités - Hack - Posté on 15 Fév 2011 at 11:29 par Solange Belkhayat-Fuchs

Symantec continue son studieux travail de « reverse » sur Stuxnet et, grâce à la collecte de plus de 3000 souches différentes, peut commencer à tirer des conclusions des journaux d’événements tenus par le virus lui-même. Car, rappelle l’éditeur, Stuxnet enregistre les « timestamp » de ses différents déclenchements. Et c’est en observant cette succession de dates que les chercheurs de Symantec ont pu dégager les points suivants

– Il existe au moins 3 variantes de Stuxnet, lancées à 3 époques différentes : en juin 2009, puis mars et avril 2010. Ces souches auraient été lancées en 5 vagues : juin et juillet 2009, mars avril et mai 2010. Une quatrième version serait, un peu comme les planètes invisibles de la ceinture de Kuiper, « prouvée mathématiquement » sans la moindre preuve physique.

– Ces 3 variantes viseraient 5 organisations différentes, certaines « éditions » de Stuxnet ciblant entre une seule à trois des organisations en question.

– 12 000 infections conduisent à ces organisations

– Toutes les organisations auraient une présence en Iran

La « piste iranienne » serait donc en partie confirmée (ce qui ne veut pas dire qu’elle soit absolument certaine ou unique). Une autre partie de l’analyse Symantec nous apprend qu’un code fossile, inachevé et désactivé, aurait pu constituer une seconde stratégie d’attaque visant d’autres cibles physiques.

Toujours à propos de Stuxnet, mais assaisonné à la sauce Anonymous, Chris Barth se fait l’écho d’une rumeur laissant entendre que les « Anonymes » seraient en possession d’une souche dudit virus. Souche qui pourrait notamment provenir des archives des serveurs de HBGarry récemment piratés par ce groupe. Tel que, Stuxnet est un peu comme un mécanisme d’horlogerie : totalement inexploitable en l’état, et guère plus dangereux que n’importe quel autre virus reposant sur des exploits désormais connus si ses composants sont réutilisés en « pièces détachées ». Information à ranger donc dans la catégorie buzz et propagande. L’origine de la trouvaille semble confirmée par Cryptome qui héberge bon nombre de documents rendus publics après le pillage des disques de HBGary.

1 commentaire

Laisser une réponse