Ce malware menaçant la santé de nombreuses personnes serait lié aux hackers de Shamoon

Des chercheurs ont récemment découvert une correspondance dans le code source et les techniques utilisées pour Kwampirs et Shamoon. Ils découleraient d’un même groupe ou de collaborateurs étroitement unis. Il convient de noter que Shamoon est un malware de pillage d’informations. En outre, il comporte un composant destructeur qui écrase le Master Boot Record (MBR) avec des renseignements arbitraires. Par conséquent, la machine infectée devient inopérante.

Naturellement, les campagnes menées par ces hackers accèdent à d’importantes données sanitaires. Le piratage des systèmes peut notamment aboutir à un vol de propriété intellectuelle. De surcroît, les dossiers médicaux de personnes influentes à l’effigie des dissidents ou des chefs militaires s’exposent au ciblage. Pour cette raison, Kwampirs serait susceptible de contribuer à la planification de futurs attentats destructifs.

Par ailleurs, en juillet 2021, le gouvernement américain a dénoncé l’État iranien comme parrain des actes réalisés avec Shamoon. La brigade de surveillance aurait rattaché le malware à des cyberattaques destinées aux systèmes de contrôle industriels.

Des codes identiques pour les deux malwares de différente famille

À travers son histoire, le logiciel malveillant Shamoon est connu sous le nom de DistTrack. Au début, une équipe de pirates éponymes a développé le système. À l’heure actuelle, de nombreuses appellations identifient ce malware dont Magic Hound, Timberworm ou COBALT GIPSY. Depuis sa découverte en 2012, les hackers ont effectué au moins deux mises à jour. Les variantes Shamoon 2 et Shamoon 3 sont respectivement apparus en 2016 et 2018.

les hackers volent les données via kwampirs

De son côté, Cylera Labs a exposé la relation entre Shamoon et Kwampirs dans les résultats de leur recherche. À cet effet, Pablo Rincón Crespo a énoncé une co-évolution de ces deux familles de malware au cours du temps. Plus précisément, les pirates ont employé des codes identiques pour Kwampirs et les versions ultérieures de Shamoon.

Ainsi, quatre fonctionnalités montrent la similitude. D’abord, ces malwares altèrent la possibilité de récupérer les métadonnées du système. Ensuite, ils suppriment l’opportunité de recouvrer l’adresse MAC et les informations relatives à la disposition du clavier de la victime. Enfin, ces logiciels malveillants bloquent l’utilisation de la même API Windows InternetOpenW. Subséquemment, les requêtes HTTP à destination du serveur de commande et de contrôle (C2) tombent en panne.

Une menace pour la santé de nombreuses personnes ?

La porte dérobée Kwampirs a aussi été impliquée dans une autre activité d’attaque. Pour ce cas, elle s’est alliée à un groupe de menaces connu sous le nom d’Orangeworm. L’année 2015 a marqué la première identification de ce groupe de piratage informatique. Dans cette application, Symantec a dénoncé une campagne portant atteinte à des institutions du secteur santé. En particulier, cette association a pointé les États-Unis, l’Europe et l’Asie.

Pour sa part, Orangeworm a frappé une sphère plus large de la chaîne d’approvisionnement. Une analyse de Symantec en 2018 a spécifiquement signalé qu’il a ciblé des organisations dans les branches connexes à la santé.

Source : THEHACKERNEWS.COM

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.