L’équipe Security Response chez Symantec a découvert que W32.Stuxnet a déjà infesté plus de 14 000 adresses IP en seulement 72 heures, dont la plupart en Iran, pour accéder à des informations sensibles et notamment aux systèmes SCADA, qui pilotent les technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques.

Suite à la détection de la menace W32.Stuxnet la semaine dernière, Symantec continue à l’analyser afin d’identifier la façon dont elle exploite les vulnérabilités, sa cible, ainsi que son objectif.

Elle est particulièrement dangereuse puisqu’elle peut dissimuler sa présence grâce à un système rootkit ainsi qu’en exploitant une vulnérabilité zero-day qui concerne toutes les versions Windows. Elle cible des logiciels utilisés pour contrôler des processus industriels SCADA, et démontre une profonde connaissance de ces outils.

Cette menace réagit à deux niveaux :

De façon automatique, comme la plupart des virus, mais également commandé à distance.

Le virus a été détecté sur un serveur en Malaisie, mais la localisation d’une machine ne donne aucune information sur l’origine de l’attaque ni de l’attaquant. Symantec a pu rapidement prendre le contrôle en déroutant et bloquant le trafic vers ce serveur afin d’empêcher de contrôler les machines infectées et récupérer les informations.

Comme souligne Laurent Heslault, Directeur des Technologies de Sécurité chez Symantec, sur son blog:

• - Symantec ne connaît pas la/les personnes derrière cette attaque..

• - Si l’architecture de l’attaque se dessine (technologies, cibles, géographie…), la motivation reste très floue.

• - Il est clair qu’ils sont loin d’être des amateurs.

Pour plus d’informations concernant sur W32.Temphid