BFM Tech

Furtim, le malware furtif qui s'attaque au secteur énergétique européen

-

- - -

Des chercheurs ont mis la main sur un logiciel malveillant techniquement très avancé et probablement créé par "un pays d'Europe de l'Est".

Alerte rouge chez les fournisseurs d’énergie. Des chercheurs en sécurité de la société SentinelOne ont mis la main sur un malware taillé sur mesure pour cibler le secteur énergétique et, en particulier, des sociétés d’énergie européennes. 

Le logiciel découvert est un "dropper", c'est-à-dire un malware qui infecte des machines et y installe une "charge utile", "payload" en anglais, qui est le véritable danger, le véritable programme qui se chargera de la basse besogne. Celui-ci est généralement un logiciel d'espionnage ou, plus rarement, de sabotage. Dans le cas présent, Furtim cible uniquement des ordinateurs Windows.

Selon Motherboard, SentinelOne a trouvé un exemplaire du logiciel dans un forum du Dark Web, ce qui est assez surprenant compte tenu de la complexité du logiciel. "Nous pensons que ce malware a été créé en mai de cette année et qu'il est toujours actif. Il a des caractéristiques similaires à certains rootkits gouvernementaux déjà rencontrés par le passé. Il a probablement été créé par plusieurs développeurs qui disposent d'un haut niveau de compétences techniques et qui ont accès à des ressources considérables", peut-on lire dans la note de blog des chercheurs. Pour SentinelOne, Furtim est probablement créé ou soutenu par une organisation gouvernementale originaire d'Europe de l'Est.

Particulièrement furtif

Les chercheurs ont baptisé ce malware "Dérivé de Furtim" (DF), du nom d'un logiciel d'espionnage découvert en mai dernier. Comme lui, ce malware a la particularité d'être très furtif.

S'il détecte la présence d'un analyste en sécurité ou d'un environnement d'exécution anormal (bac à sable, machine virtuelle), il s'efface. S'il détecte simplement des antivirus, il va tenter de les désactiver pour, ensuite, installer la charge utile. DF évite par ailleurs soigneusement les machines qui seraient trop exposées à la surveillance des administrateurs, telles que les stations de travail dédiées au contrôle d'accès.

Interrogé par eWeek, l'un des chercheurs estime que DF est techniquement similaire au célèbre Stuxnet, qui a peut-être servi de modèle. Toutefois, il ne s'appuie pas sur des failles zero-day.

Il y a quelques jours, les chercheurs en sécurité de Kaspersky ont mis en avant le manque général de sécurité des sites industriels au niveau informatique, détectant plusieurs dizaines de milliers de systèmes connectés sur Internet et vulnérables à différentes attaques.