1) Le logiciel malveillant Stuxnet a été découvert le 17 juin 2010 par la société biélorusse "VirusBlokAda" (VBA) spécialisée dans les antivirus. Cette société proche du gouvernement biélorusse est par ailleurs implantée en Iran où elle possède un bureau de représentation.
2) Lors de sa découverte, le ver, qui ne s’appelait pas encore Stuxnet, fut baptisé "Rootkit.TmpHider" et "SScope.Rookit.TmpHider.2".
3) Le 14 juillet 2010, l’expert allemand en reverse engineering informatique, Frank Boldewin met pour la première fois en évidence le ciblage par le cheval de Troie de l’interface homme-machine SIMATIC WinCC de Siemens. Ce logiciel permet de visualiser les processus automatisés de sites industriels. (La méthode de connexion, et le mot de passe utilisé, seront anonymement divulgués sur Twitter 2 jours plus tard).
4) Le 15 juillet 2010 le Kaspersky Lab met en lumière, la chaîne "b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb" dont les mots myrtus et guava sont extraits [Pour de nombreux experts, myrtus renvoie logiquement à My rtus =remote terminal units (rtu) visés par Stuxnet ].
5) Le 16 juillet 2010, Microsoft précise que le nom de Stuxnet dérive de noms de dossiers formés de chaînes de caractères contenus dans le logiciel malveillant à savoir : d’une part mrxcls.sys et d’autre part mrxnet.sys (les 2 chaînes découvertes en juin par VBA). Les sociétés d’antivirus s’aligneront toutes sur ce nouveau nom dans les jours suivants. Aucune précision n’est alors donnée sur la signification du néologisme Stuxnet (xnet peut se prononcer cross network).
6) Le 17 juillet 2010, la société ESET leader international dans la détection proactive des menaces, trouve un nouveau dossier malveillant baptisé jmidebs.sys. ESET montre par ce biais que les certificats d’authentification ont été détournés auprès de deux sociétés taïwanaises Realtek et JMicron, toutes les deux situées sur le parc scientifique de Hsinchu (HSP) dédié à l’industrie des semi-conducteurs.
7) Le 20 juillet 2010, la société ESET , indique dans un communiqué que selon ses évaluations près de 58% des infections par Stuxnet sont signalées aux États-Unis, 30% en Iran et un peu plus de 4 % en Russie. (Dès le départ, les statistiques de contamination mondiale fluctuent en fonction des critères différents retenus par les sociétés d’antivirus. Le 16 juillet Symantec par exemple en se basant cette fois sur la proportion d’ordinateurs infectés dans chaque pays obtenait des taux de 40% pour l’Inde, 32% pour l’Indonésie et 20% pour l’Iran).
8) Le 3 aôut 2010, le Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques français emet un bulletin d’alerte du CERTA. Le document établit la liste des opérations effectuées par le code malveillant comme la création des fameux fichiers mrxcls.sys et mrxnet.sys…
Le bulletin précise également un point important; "le code malveillant Stuxnet tente des connexions vers les domaines suivants : http://www.mypremierfutbol.com et http://www.todaysfutbol.com ".
9) Selon Symantec, ces deux adresses coincidaient avec des serveurs de commande et contrôle situés en Malaisie et au Danemark. Le traffic de Stuxnet en direction de ces deux serveurs a été dérouté et intercepté par Symantec dès la fin juillet.
A suivre…
Copyrights Nanojv:
http://nanojv.com
(reproduction interdite).
Lechartier
23 juillet 2011
Et bien , nous sommes pas sortis de l’auberge, entre le réel et le virtuel, il y a des virus partout , non seulement cela se propage aussi vite dans les 2 sens !!!!
Bonjour les dégâts!!!!
M