Le Comptoir Sécu

Parlons cybersécurité...autour d'un verre!

Après Careto, place au malware Uroburos, In soviet russia...

Après Kaspersky et sa découverte du malware Careto, c’est à GData de nous annoncer par l’intermédiaire d’un “red paper” la découverte d’Uroburos, le malware le plus “sophistiqué qu’ils n’aient jamais rencontré”.

Encore une fois, nous avons affaire à un malware présumé gouvernemental pour les raisons suivantes :

La partie exfiltration est d’ailleurs assez mignonne, elle ne se satisfait pas de tenter de sortir les données à coup de requête HTTP comme on le voit souvent, mais gère également la fuite par email et… via le protocole ICMP.

Si vous ne voyez pas ce que c’est, vous connaissez sûrement au moins la commande Ping, qui l’utilise. Ce protocole est généralement autorisé et peu surveillé, car présumé inoffensif. Il est même souvent activement utilisé par les administrateurs système dans leur travail quotidien.

uroburos-communication

Cette fois-ci les indices récoltés semblent converger vers une source russe :

Même si le malware semble plus “jeune” que Careto, GData pense qu’il date au moins de 2011. On peut bien sûr rester sceptique lorsque l’on sait que la preuve annoncée n’est que la date de compilation d’un driver utilisé par le malware. J’aurai préféré l’horodatage de logs relatant l’activité de la bête en question.

Je suis à peu près sûr que l’on peut maquiller ce genre de métadonnées. À quand le malware “retour vers le futur” antidaté au 21 octobre 2015 ?

Quoi qu’il en soit, toutes ces découvertes nous rappellent à quel point l’antivirus n’est efficace que sur les attaques déjà identifiées. Ce n’est pas parce qu’il ne dit rien que votre système d’information est dépourvu d’infection.

Vu comme un incontournable, l’antivirus n’est que la première pierre à l’édifice de votre stratégie sécurité, et des entreprises comme FireEye se feront une joie de vous vendre des solutions plus “proactives” à base de sandboxing. Ces produits sont à la mode et sont sûrement très efficaces dans leur domaine, je continue de penser cependant que rien ne vaut une bonne supervision de son système d’information par quelques experts en sécurité. Bientôt un dossier sur les SoC au Comptoir Sécu ?