InfoSecurity 2007 : la menace Storm Worm décryptée par Kaspersky

Cloud

Indécelables par les moyens traditionnelles, les vers de nouvelle génération type Storm Worm rendent la mise en oeuvre de protection complexe.

Le 13 juin 2007, le FBI révèle par voie de communiqué avoir découvert plus d’un million de PC zombies. Autant de machines faisant parti d’un réseau contrôlé à distance par des pirates (un « botnet »). Surpris par cette annonce, Marc Blanchard, chercheur au laboratoire de Kaspersky, se lance dans une enquête pour comprendre comment un tel botnet a pu se créer aussi rapidement. Il va alors découvrir une nouvelle génération de technologies qui caractérisent désormais les malwares. C’est la génération des Storm Bot qui se propagent notamment par le biais des sites web.

« Les Storm Bot ne sont pas des vers très émergents comme Sasser ou Blaster qui ont envahi la planète en quelques heures« , commente le chercheur rencontré à l’occasion du salon InfoSecurity France, « un Storm Worm va infecter mille à deux milles machines« . Un taux de contamination ridicule à l’échelle du réseau mondial qui lui offre une discrétion efficace aux yeux laboratoires antivirus. Sauf que l’agent malveillant effectue des re-contaminations. « Ces deux milles machines infectées vont à leur tour infecter deux milles autres PC et ainsi de suite, mais pas avec le même code« . Une stratégie qui lui permet de conserver sa discrétion tout en assurant sa propagation exponentielle.

La discrétion reste de mise côté machine hôte. Contrairement aux vers d’ancienne génération qui occupent 100 % des ressources machine lors de leur implémentation (au risque d’attirer l’attention de l’utilisateur), la génération Storm Bot « est plus intelligente« , constate Marc Blanchard. « Le ver analyse dans un premier temps les ressources processeur de la machine et se contente d’en exploiter les 2/3 de sa puissance. » Soit environ 40 % d’occupation du processeur, ce qui laisse une entière liberté de mouvement de l’utilisateur évitant ainsi de lui mettre la puce à l’oreille.

Deux fois la puissance d’un Cray

Le plus redoutable est la puissance dégagée par ce type de botnet. Selon Marc Blanchard, 50 000 PC zombies équivalent à 10 % de la puissance d’un Cray XT, l’un des supercalculateur les plus puissants du monde après Blue Gene d’IBM. « Un million de PC zombie revient à 2 fois la puissance d’un Cray XT. » Une puissance exploitée non pas au profit de la recherche contre la myopathie hélas mais pour transformer les machines victimes en serveur de spam de web et de blogs. « Des sites et des blogs qui vont être indexés par Google et attirer du trafic« , alerte Marc Blanchard.

Des sites web vecteurs d’infection. « Du jour au lendemain, le site que vous avez l’habitude de visiter peut devenir contaminant. » En effet, par des opérations de defacing (remplacement d’une page web d’un site), les pirates injectent du script (Javascript, PHP, VBscript…) dans la page Web de manière transparente ou bien créent une iFrame qui télécharge du code infectieux, toujours de manière invisible pour l’internaute. S’ensuit la neutralisation du pare-feu logiciel et l’ouverture d’une porte dérobée (backdoor) qui permettra au pirate d’installer ce que bon lui semble et prendre le contrôle distant de la machine.