Sandworm

Présentation
Type	Ver informatique
Partie de	Sandworm (en)

Localisation
Localisation	Russie

En informatique, Sandworm (litt. « ver de sable » en français) est un logiciel malveillant qui s’infiltre à l’intérieur d’un ordinateur à l’insu de l’utilisateur. Le rôle de ce logiciel espion est d’accéder aux informations d’un ordinateur en exploitant une faille informatique présente sur la plupart des versions Windows.

En 2009, cette faille a été utilisée pour la première fois par un groupe de pirates informatiques provenant de Russie. Les cibles de ces cyber-espions étaient composées majoritairement d'organisations gouvernementales et d'industries de grande envergure (comme l'OTAN et la Commission européenne)^[1].

Le 14 octobre 2014, iSIGHT, en collaboration avec Microsoft, annonce la découverte d'une vulnérabilité du jour-zéro ayant un impact dans toutes les versions de Microsoft Windows et Windows Server 2008 et 2012^[2].

Mode d'opération[modifier | modifier le code]

Méthode de transmission[modifier | modifier le code]

Le ver informatique utilise le programme intégré de Microsoft PowerPoint pour exploiter la faille de Windows. Cette application donne l’avantage au ver d’être considéré comme inoffensif pour l’ordinateur, car il utilise entre autres des extensions de fichier permettant l’installation du programme malveillant sans notification extérieure. Les fichiers sont retrouvés sous deux formes particulières, soit^[3] :

Le fichier slide1.gif, qui est en fait un exécutable qui prend la forme ‘‘.exe’’ lors de l’installation de PowerPoint et qui est renommé slide1.gif.exe avant d’être ajouté au registre d’entrée qui va être lancé lors de la prochaine connexion.

Le fichier slides.inf, où INF est l’extension Windows donnée pour spécifier l’information utilisée lors de l’installation d’un logiciel.

Le ver s’installe donc lorsque le programme PowerPoint est ouvert, ce qui crée une ouverture pour les autres produits malveillants. Cela assure donc le développement interne du ver, qui peut se servir à volonté dans les données de l’ordinateur et peut maintenant installer et télécharger d’autres fichiers nocifs sans l’avis de l’utilisateur, car il a indirectement obtenu les droits en étant exécuté. Le véritable danger est par contre le complice principal du ver de sable, BlackEnergy. Ce logiciel malveillant utilisait le ver comme clé ouvrant les portes sur les ordinateurs du monde. Ce virus très sophistiqué est utilisé pour espionner l’utilisateur et ensuite saboter les programmes et informations importantes des multiples entreprises visées^[4].

Jour-zéro[modifier | modifier le code]

Le ver de sable est très puissant en raison de sa subtilité. Il utilise une vulnérabilité du jour zéro de Windows (CVE-2014-4114). Le correctif relatif à cette vulnérabilité a été mis à disposition par Microsoft en octobre 2014. L’infection par le ver était automatiquement bloquée une fois le correctif appliqué, car la source du problème n’était pas le logiciel^[3].

Impact[modifier | modifier le code]

La combinaison de ce ver et du virus a eu un fort impact sur les gouvernements du Moyen-Orient et de l’occident. Après quelques recherches et retraçages, le virus avait bel et bien une origine russe et était tout droit relié au gouvernement. Avec des propriétés très complexes, ce virus présente une menace, car ce n’est par un virus ordinaire. La nouvelle technologie utilisée par les Russes fait usage d’ingéniosité, car il pouvait non seulement provoquer des dommages électroniques, mais aussi des dommages physiques. Par exemple, il pouvait faire modifier le débit des pipelines, manipuler les centres de purification d’eau, les générateurs d’énergie et d’autres infrastructures critiques causant ainsi des dommages d’envergure catastrophique. Le virus pouvait agir sur des équipements de laboratoire et aussi des armes de destruction massive, semant la peur chez les gouvernements ciblés. Après l’attaque ravageant le programme nucléaire Iranien, le duo s’est répandu ayant la possibilité de faire de nombreux dégâts^[5].

Variante[modifier | modifier le code]

La première variante découverte était également d’origine russe et était nommée Oleksiuk Dmytro. Elle avait des fonctionnalités limitées en tant qu’outil DDoS. Contrairement à ses frères, elle avait comme cible les banques et les systèmes de sécurité où elle pouvait modifier et voler les informations désirées. L’équipe du ver de sable a donc utilisé ce programme pour recueillir des informations et identifier les cibles potentielles. Elle avait alors un bon aperçu sur la situation et avait un bon contrôle informatique très ancré qui lui permettait de mettre en œuvre plusieurs attaques stratégiques et avantageuses pour le gouvernement russe. Des chercheurs ont découvert que l’utilisation du dérivé pouvait changer les informations à un point tel que les proxys et les pare-feu utilisés par les entreprises étaient déroutés. Les virus s’infiltraient sans problème et pouvaient s’intégrer au code de protection lui-même. C’est ce qui permettait au virus de prendre les informations et les données par les serveurs de contrôle. L’efficacité de l’Oleksiuk leur apportait un connaissance très détaillée des failles de sécurité et une connaissance approfondie des structures internes des réseaux^[4].

Protection[modifier | modifier le code]

La découverte de ce problème a entrainé une forte médiatisation, car le danger était relié à un programme très courant. Ayant connaissance du problème, Microsoft et la compagnie iSIGHT Partners ont donc mis à disposition la mise à jour MS14-060, permettant de colmater la faille et de réparer le logiciel de présentation PowerPoint. Le réparateur peut maintenant détecter si les fichiers sont corrompus et ainsi éviter que le ver utilise les fichiers pour s’introduire.

Les logiciels ont maintenant tous un fichier autorun.inf qui n’est aucunement modifiable par l’externe et c’est le seul fichier .inf exécuté lors de l’installation du logiciel. Les produits néfastes ne peuvent donc plus utiliser cette tactique pour s’introduire chez l’hôte^[3].

Groupe de hackers[modifier | modifier le code]

Par extension, c'est aussi le nom du groupe de hackers qui exploite le ver informatique. En 2023, les américains ont fait le lien entre le groupe de pirates et la branche cyber du GRU. En effet on avait pu observer que le groupe Sandworm n'agissait pas par pur intérêt financier mais avait toujours un intérêt stratégique derrière. Les attaques de ce groupe étaient déployées essentiellement contre l'Ukraine dans des actions de cyber-sabotage. En 2017, le groupe Sandworm est aussi responsable du déploiement du rançongiciel NotPetya qui a fait des ravages en Europe et aux États-Unis. Ils sont aussi accusés d'être à l'origine de la tentative de déstabilisation démocratique qui a eu lieu pour les élections américaines de 2016. Ainsi que pour la tentative de déstabilisation de l'élection présidentielle française de 2017. En 2020 les services secrets américains sont sûrs que le groupe Sandworm est associé à l'unité 74455, la branche cyber du GRU. En 2023 on apprend l'arrivée de Evgueni Serebriakov à la tête de Sandworm^[6]^,^[7].

Notes et références[modifier | modifier le code]

↑ Symantec, Sandworm Windows zero-day vulnerability being actively exploited in targeted attacks, Symantec Security Response, 14 octobre 2014.
↑ WARD, Stephen, iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign, iSIGHT Partners, 14 octobre 2014
↑ ^{a b et c} DUCKLIN, Paul, The "Sandworm" malware - what you need to know, nakedsecurity, 15 octobre 2014
↑ ^{a et b} ZETTER, Kim, Russian ‘Sandworm’ Hack Has Been Spying on Foreign Governments for Years, Wired, 14 octobre 2014
↑ ERNEST, Aaron, Is this the future of cyberwarfare?, Al Jazeera America, 5 février 2015
↑ Sébastian SEIBT, « Un pirate informatique de légende à la tête du bras cyber du renseignement militaire russe ? » , France 24, 16 mars 2023 (consulté le 16 mars 2023)
↑ (en) Andy Greenberg, « This Is the New Leader of Russia’s Infamous Sandworm Hacking Unit » , Wired, 15 mars 2023 (consulté le 16 mars 2023)

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

[symantec-1] Symantec, Sandworm Windows zero-day vulnerability being actively exploited in targeted attacks, Symantec Security Response, 14 octobre 2014.

[2] WARD, Stephen, iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign, iSIGHT Partners, 14 octobre 2014

[naked-3] {a b et c} DUCKLIN, Paul, The "Sandworm" malware - what you need to know, nakedsecurity, 15 octobre 2014

[wired-4] {a et b} ZETTER, Kim, Russian ‘Sandworm’ Hack Has Been Spying on Foreign Governments for Years, Wired, 14 octobre 2014

[5] ERNEST, Aaron, Is this the future of cyberwarfare?, Al Jazeera America, 5 février 2015

[6] Sébastian SEIBT, « Un pirate informatique de légende à la tête du bras cyber du renseignement militaire russe ? » , France 24, 16 mars 2023 (consulté le 16 mars 2023)

[7] (en) Andy Greenberg, « This Is the New Leader of Russia’s Infamous Sandworm Hacking Unit » , Wired, 15 mars 2023 (consulté le 16 mars 2023)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

v · m Attaques, menaces et programmes informatiques malveillants
Vers	Attaque par déni de service (Denial of service) Code Rouge (Code Red) Débordement tampon (Buffer overflow) De réseau Bugbear ExploreZip (I-Worm.ZippedFiles) Flame (Worm.Win32.Flame) Here you have (via courriel) I love you (Love Letter) Sapphire (Slammer) Spambot (Spam robotisé) Stuxnet (via clé USB) Ver de script (Script Worm)
Chevaux de Troie	Bombe (Bomb) Cliqueur (Modificateur du fichier Hosts) Code automodifiable (Self-modifying code) Espiogiciel (Spyware) Injecteur (Dropper) Notificateur (Trojan) Porte dérobée (Backdoor) Rançongiciel (Ransomware) Scanneur de vulnérabilité (Vulnerability scanner) Trojan Rustock (Botnet Rustock) Trojan Srizbi (Botnet Exchanger) Trojan Storm (Botnet Storm) Zombificateur (Zombie)
Virus	Autorépliquant (Wabbit) De fichier Du secteur d’amorçage (boot) De script Macrovirus Ping-Pong virus Virus polymorphe
Autres	KeyRaider XcodeGhost