Symantec : la cyber-attaque « Nitro » a visé l’industrie de la chimie et de la défense

Entreprise
logica-attaque-reseau-malware-cyber-anonymous

Un échantillon de 48 firmes aux activités sensibles a été la cible d’une attaque de grande envergure via le trojan Poison Ivy. Objectif des pirates : piller des secrets industriels.

Des hackers ont décidé de s’en prendre à des secteurs industriels stratégiques comme la chimie ou la défense.

Une vague d’attaques, baptisée Nitro, a ainsi été lancée dans le monde avec comme dénominateur commun l’utilisation d’un cheval de Troie : Poison Ivy.

Symantec dénombre un total de 48 firmes infectées. Mais un nombre plus important de sociétés auraient été visées.

L’éditeur de solutions de sécurité IT a publié un livre blanc (PDF) à propos de cette cyber-attaque.

But de la manoeuvre : dérober des informations sensibles comme de la propriété intellectuelle ou industrielle voire de la documentation sous secret défense.

Les réseaux de 19 sociétés en accointance avec le secteur de la défense de plusieurs pays auraient été infectés : Symantec en recense cinq au Royaume-Uni, en ajoutant peut-être le cas de Mitsubishi au Japon.

D’autres compagnies basées dans des pays comme le Danemark, l’Italie et les Pays-Bas ont été touchées (quid de la France ?).

C’est en cliquant sur les pièces jointes à un e-mail que le cheval de Troie Poison Ivy est activé.

Les pirates peuvent dès lors copier des fichiers vers une autre partie du réseau d’où ils sont extraits.

Il s’agit là d’un réel programme renifleur permettant aux hackers de subtiliser des informations sensibles.

Nitro a donc pour dessein l’espionnage industriel et l’espionnage tout court.

On le rapproche bien entendu « au ver industriel » Stuxnet. Mais, selon Jeff Wilhelm, un chercheur de Symantec, « Nitro n’a pas atteint ce degré de sophistication. »

Poison Ivy avait déjà été pointé du doigt en mars 2011 : il aurait permis de hacker le réseau de RSA Security et de voler des informations sur l’authentifieur SecurID.

Les chercheurs de Symantec auraient déjà localisé un individu à l’origine de l’attaque dans la province d’Hebei en Chine.

Symantec ne sait toutefois pas si Covert Grove (surnom donné à l’individu par l’éditeur) a agi seul.

Le spécialiste de la sécurité IT s’étonne également d’avoir réussi à remonter la piste : « Nous avons été capables de remonter à cet individu, ce qui est inhabituel« , selon Wilhelm.

Reste à connaître le ou les commanditaires. En tout cas, l’Etat chinois nie toute forme d’implication dans ces attaques. Etonnant, non ?

Crédit photo : © Cybrain – Fotolia.com

Lire aussi :