On Tue, Mar 13, 2018 at 09:39:50AM +0100, Daniel Cordey wrote: > Ah, ah... ça commence à devenir sérieux... Mais comment ce malware > peut-il s'installer ? Grosse question...
Il semblerait que c'est une attaque 100% Microsoft, mais qui utilise les routeurs MikroTic comme de grosses clés USB. En bref, l'utilisateur installe un outil propriétaire de management non pas depuis un site certifié, mais depuis son propre routeur (un peu comme ces horribles clés 3G/4G Huawei qui montraient à Microsoft Windows un faux lecteur CD-ROM interne installant une version obsolète des pilotes sous Microsoft). Si le routeur contient la version vulnérable (apparemment préinstallée parfois), ensuite on a un keylogger et autres sur son poste Microsoft. Cela n'a pas été détecté pendant 6 ans. Il semble aussi qu'un ordinateur Microsoft infecté peut remplacer à son tour le logiciel propriétaire mis à disposition sur le routeur MikroTik pour des infections de systèmes Microsoft ultérieurs. L'attaque est, comme STUXnet il y a quelques années, intéressante car elle combine plusieurs vecteurs d'attaque (Microsoft, automates SCADA Siemens; ici MikroTik/Linux et Microsoft: encore que finalement l'attaque cible est 100% Microsoft ici, les routeurs MikroTik semblent juste être utilisés pour l'infection, comme des grosses clés USB pour STUXnet: ils ne semblent pas exécuter eux-mêmes de code vulnérable). Ce qui semble faire peur aux vendeurs d'anti-virus Microsoft c'est qu'ils ne l'ont pas détecté. La possibilité d'écrire des virus non détectables est pourtant documentée depuis longtemps. Référence https://securelist.com/apt-slingshot/84312/ _______________________________________________ gull mailing list [email protected] http://forum.linux-gull.ch/mailman/listinfo/gull
