WannaCry, et récemment un autre ver nommé EternalRocks, encore plus performant, a été découvert récemment ;  il utilise sept outils de piratage conçus par la NSA.

Heureusement pour ceux qui travaillent ou utilisent l’OS d’Apple, ces vers ne visent que le protocole SMB (Server Message Block) de Windows. SMB est un protocole de communication permettant le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows.

Les chercheurs en sécurité sont toujours en mode surveillance extrême concernant des répliques de WanaCry. Miroslav Stampar, un croate membre du CERT et créateur du service sqlmap, qui permet de détecter les attaques par injection SQL, a trouvé au sein d’un honeypot (serveur piège), un ver s’appuyant sur plusieurs outils de la NSA ciblant aussi SMB de Windows.

Ce chercheur a comptabilisé sept exploitations de failles alors que pour WannaCry, seulement deux ont été référencées. Il a été baptisé par le chercheur EternalRocks et il intègre à lui seul 6 services, tous visant SMB.

Plus précisément, il s’agit de quatre exploits SMB :

–  EternalBlue (déjà utilisé par WannaCry),

–  Eternalchampion,

–  Eternalromance,

–  Eternalsynergy.

Deux autres solutions servent à mener des opérations de reconnaissance des ports SMB vulnérables :

–  SmbTouch,

–  ArchiTouch.

Enfin comme WannaCry, EternalRocks se sert d’un outil nommé DoublePulsar pour se propager sur d’autres machines vulnérables.

Il faut retenir que ces 7 outils ont été développés par les pirates (hackers) de la NSA pour vous espionner, vous ou les Russes ou les Coréens, enfin pour pratiquer leur sale boulot d’espionnage.

Pour le chercheur, EternalRocks serait moins dangereux que WannaCry parce qu’ il ne contient pas de charges malveillantes. Miroslav estime quand même que ce ver n’est pas inoffensif. Il ne faut donc pas le prendre à la légère puisqu’il est très complexe et cache peut-être autre chose…

Une fois sa victime infectée, il s’installe en deux temps, la seconde phase étant différée et en attente. En premier, EternalRocks s’installe sur son hôte ; il va télécharger un client Tor et fixer son serveur C&C sur un domaine en « .onion », une adresse sur le Dark Web. La seconde phase aura lieu après une période bien définie, 24 heures dans ce cas, pour activer un serveur C&C. En général, les tests de sécurité via des sandbox ne durent pas aussi longtemps tout comme les analyses des spécialistes de sécurité. Il est fort probable qu’ils n’attendront pas une journée pour avoir une réponse du serveur C&C. Une fois ce laps de temps passé le ver télécharge une archive zip dont le nom n’est pas innocent : shadowbrokers.zip. Cette archive contient les exploits de la NSA cités au-dessus.

Pour brouiller encore les pistes, EternalRocks utilise des noms de fichiers identiques à ceux de WannaCry. Contrairement à Wannacry, EternalRocks n’inclut pas de porte de sortie. Un chercheur avait découvert qu’en déclarant le nom de domaine ”kill switch”, ce ver se désactivait et libérait les cryptages de fichiers. C’est le talon d’Achille du ransomware que des chercheurs avaient trouvé pour empêcher sa propagation.

Selon Miroslav Stampar, EternalRocks est tout aussi dangereux que WannaCry ; il peut être armé à volonté en un instant. Selon ces conclusions, ce ver ressemble à un test ou un embryon de développement. Il reste beaucoup de domaines, Ransomware, RAT, chevaux de Troie bancaire, une liste bien longue de charges utiles pour faire encore mieux et plus dangereusement que WannaCry.

Au risque de me répéter, je vous dis ATTENTION ! Si ces vers sont pour l’instant inoffensifs pour l’OS de Cupertino, il ne faut quand même pas lever la garde et ranger son épée. SMB est un protocole qui existe aussi sur Mac OS ou Linux, il est probablement atteint des mêmes tares que son exemplaire sur Windows, et la NSA ne s’est pas contentée de polluer et d’espionner les PC sous Windows.

Actuellement, seuls trois antivirus sont capables de détecter WannaCry et EternalRocks. IL s’agit de :

Eset Smart Security

F-Secure Safe

Kaspersky Internet Security

À ma connaissance, seuls le premier et le troisième proposent des solutions MacOS, pas forcément aussi puissantes que sur PC, mais il est sage d’opter pour une protection incomplète plutôt que rien du tout.