DoublePulsar : quand un des malwares de la NSA est détourné en masse (à 100 000 près) !

Il y a un peu moins de deux semaines, Shadow Brokers partageait avec le monde entier une autre de ses  prises ; dérobé à la cellule de cyberespionnage de la NSA, le larcin, contenant une multitude d’outils malicieux / d’informations sensibles (et dont l’ensemble des failles ont été colmatés largement par Microsoft) a permis malheureusement de faire au passage quelques dégâts du genre, notamment avec DoublePulsar qui toucherait, selon les analyses et explications divergentes, entre 30 000 et 164 000 machines (au 21 Avril dernier)…

 

 

Dans les faits et pour l’heure, si Microsoft avait déjà colmaté la faille liée à DoublePulsar et, donc, au port 445 (SMB – Samba) ou « EternalBlue » de son nom intime (MS17-010 – depuis le 14 Mars 2017 !), c’est côté chiffres que les avis divergent : si la méthode d’analyse reste commune (script et explications fournies par Countercept.com), les résultats obtenus sont radicalement à l’opposé : d’une part, BinaryEdge annonce 164 715 (23 Avril) et 183 107 IP infectées (hier, le 24 Avril dernier) ; d’autre part, Below0Day se veut plus rassurant et démontre un résultat de requête ramenant un chiffre entre 30 626 (18 Avril) et 56 586 IP uniques (21 Avril) en notant que pour la dernière analyse du 21 Avril, BinaryEdge comptabilisait 106 410 postes intégrant le malware.

 

« Quelles grandes oreilles vous avez ! »

Si les avis tranchent dans différentes directions c’est que le malware en question, issue des entrailles de l’équipée de la NSA oblige (Equation Group), est assez discret puisque, certes, il infecte le système, mais sans laisser de trace sur son passage, jusqu’au redémarrage de la machine infectée qui sera fatalement, faute de correctif(s) appliqué(s), infectée à nouveau, via des DLL elles-mêmes infectieuses permettant ainsi d’ouvrir des portes dérobées pour parfaire ce piège, ouvrant des perspectives malveillantes quasi-infinies… Un modus operandi qui complique un recensement, même approximatif puisque cette vulnérabilité, classifiée « critique », peut être source de « faux positifs », selon Ars Technica, soit du fait d’une éventuelle erreur (?…) au sein-même du script élaboré par Countercept et / ou soit du fait de la particularité de DoublePulsar, ce dernier s’effaçant du système, lorsqu’il redémarre.

« Nous doutons de l’exactitude des rapports et enquêtons« , a ainsi répondu officiellement Microsoft à Ars Technica, le 21 Avril dernier… Une enquête qui, en plus de mettre en lumière des chiffres plus entendus concernant les dégâts causés par DoublePulsar, dévoilera dans un même temps, gageons-le, les circonstances de certaines résolutions sécuritaires express par le géant de Redmond là où habituellement, sauf hors-cycle, il tend à traîner la patte… A suivre !

 

Pour plus d’informations sur le sujet, si vous êtes initié (sinon ne le faites pas sans quelqu’un ayant des connaissances sur le sujet ou demandez de l’aide dans la >section « Dépannage »< d’SOSOrdi.net !), le script pour analyser et détecter si un terminal est infecté, juste >< (Github).

 

Source : ArsTechnica