L'un des logiciels les plus dangereux du monde a refait surface en Italie. Shamoon serait responsable d'une vaste attaque de la compagnie Saipem, liée au secteur pétrolier.

La notoriété du malware destructeur Shamoon s’est faite au Moyen-Orient. Connu pour être un des logiciels parmi les plus dangereux du monde, le code malfaisant fut derrière l’immobilisation — à deux reprises — de la Saudi Aramco. La firme pétrolière avait vu ses données détruites et remplacées provoquant de lourds dégâts financiers. On considère aujourd’hui qu’en 2012, lors de la première attaque, plus de 30 000 ordinateurs de la société avaient été infectés et rendus inutilisables. Au-delà l’attaque de la société saoudienne, une firme pétrolière qatarie fut également la cible de Shamoon avec des résultats de nature similaire.

Une nouvelle cible dans le secteur pétrolier

Ce mois-ci, le malware a refait surface en Italie selon VirusTotal. Le site web a répertorié le 8 et 9 décembre dernier des traces du code de Shamoon. L’adresse IP trouvée par VirusTotal mène à la société Saipem, une société italienne liée aux activités pétrolières de la Saudi Aramco. L’entreprise a reconnu l’attaque ce lundi 10 décembre, sans mentionner l’implication du malware découvert sur VirusTotal.

Toujours selon les données récoltées par le site web, des traces du malware ont été retrouvées jusqu’en Inde, dans une filière de Saipem, laissant peu de doutes sur l’implication de ce dernier dans l’attaque annoncée par l’entreprise. Auprès de certains médias, comme ZDNet, Saipem a confirmé qu’il s’agissait d’une variante du logiciel Shamoon.

Bateau-grue Saipem 7000 au large de l’Espagne, 2008 horrapics

La version utilisée serait différente de celle rencontrée en Arabie Saoudite : les infrastructures techniques de Saipem n’ont pas été touchées à l’inverse de la Saudi Aramco dont l’activité avait dû être arrêtée faute de systèmes fonctionnant. Ici, seuls les postes de travail des bureaux de l’entreprise ont été infectés. Les données de ses derniers ont été effacées et remplacées par un simulacre de ransomware  : le logiciel prétend avoir chiffré les données alors qu’elles ont déjà été effacées, renseigne un analyste auprès de ZDNet.

des traces du malware ont été retrouvées jusqu’en Inde

À l’heure actuelle, les analystes — parmi lesquels Silas Cutler de Chronicle, et Christian Beek de McAfee — semblent s’accorder pour parler d’une version nouvelle cumulant deux versions de Shamoon en une seule. Cette version, dépourvue de cible et de moyen de propagation par le réseau, validerait le scénario d’une contamination manuelle. Mauro Piasere, à la tête du numérique dans la société italienne a informé Reuters que l’attaque serait originaire de Chennai, en Inde.

En outre, Saipem ne serait pas la seule entreprise touchée par cette nouvelle version : une agence de cybersécurité dubaïote estime auprès de Forbes qu’une entreprise d’ingénierie émiratie a subi une attaque de la même sorte.

Pour rappel, l’Iran avait été accusé de l’attaque de la Saudi Aramco. À l’heure actuelle, le processus d’attribution de cette nouvelle attaque reste ouvert, auprès de Forbes toujours, une source admet n’avoir aucune certitude quant à la responsabilité iranienne.

Partager sur les réseaux sociaux