Shamoon, dans sa dernière version, semblerait de nouveau lié aux forces iraniennes : l'utilisation d'un verset du Coran pour signer le code renforce la piste APT33.

À l’intérieur du programme wiper  associé à la nouvelle version de Shamoon — qui a infecté l’entreprise italienne Saipem — les analystes de McAfee et de Palo Alto Networks ont découvert une série de lignes de code singulière : en ASCII, soit l’utilisation de caractères informatiques pour créer des formes graphiques, un verset du Coran apparaît.

« Que périssent les deux mains d’Abu-Lahab »

Le logiciel malveillant célèbre pour ses méfaits au Moyen-Orient, notamment en Arabie Saoudite, a longtemps été lié par les analystes aux forces cyber iraniennes qui signeraient leurs attaques. Auparavant, Shamoon remplaçait les données effacées sur les ordinateurs — lors des attaques de la Saudi Aramco — par des photos au sens politique évident : drapeau américain en feu et la photo d’Alan Kurdi, enfant syrien noyé en Méditerranée.

Jusqu’ici, les victimes n’avaient pas découvert de symboles similaires dans la nouvelle version du programme. Seulement, l’analyse des experts a livré une plus discrète, néanmoins volontaire, signature des attaquants : « Que périssent les deux mains d’Abū-Lahab et que lui-même périsse  », la sourate 111 du Coran reproduite en ASCII dans le code. Cette dernière a été placée stratégiquement dans le wiper afin de n’être découverte que par les enquêteurs qui, inéluctablement, exploreraient le code du programme en cas de succès de l’attaque.

تَبَّتْ يَدَا أَبِي لَهَبٍ وَتَبَّ.
Source : McAfee

Shamoon, dont les cibles sont majoritairement liées à l’industrie pétrolière, est à nouveau relié avec prudence à l’Iran par McAfee. Dans un nouveau billet de blog, les analystes de l’entreprise américaine, dont le Français Thomas Roccia, notent : « Après une analyse approfondie des trois versions de Shamoon, avec les preuves que nous décrivons ici, nous concluons que le groupe iranien APT 33 — ou un groupe se faisant passer pour APT 33 — est vraisemblablement responsable de ces attaques  »

Sur la piste des motivations de l’attaquant

La prudence reste pourtant de mise quant à cette attribution : la signature ASCII et l’emploi d’un programme déjà lié à l’Iran pourraient être une parade imaginée par un groupe malveillant pour se glisser dans la peau de la force cyber iranienne. Pour autant, la cible ultime de cette troisième itération de Shamoon n’a pas changé : ce sont les entreprises pétrolières de l’axe sunnite qui, par le biais d’un partenaire européen, ont été attaquées. Robert Falcone, de Palo Alto Networks, écrit en outre à propos de la sourate : « Le message d’inspiration religieuse intégré au Trojan est intéressant puisqu’il pourrait mettre en lumière les motivations des attaquants  ». Dans le contexte du Levant, cette menace religieuse peut évoquer le Yémen où les forces saoudiennes combattent des rebelles chiites — une version précédente de Shamoon comportait des références au dialecte yéménite.

« Le message d’inspiration religieuse intégré au Trojan est intéressant puisqu’il pourrait mettre en lumière les motivations des attaquants »

Quant à la plus mauvaise performance de Shamoon dans cette nouvelle mouture, surtout à cause de son wiper de mauvaise facture, McAfee n’évacue aucun scénario. Thomas Roccia confirme à Cyberguerre que la piste APT 33 peut être valide quand bien même ce wiper paraît étranger à la qualité habituelle de leur travail : « Nous savons que le groupe emploie des étudiants pour réaliser certains programmes, le wiper écrit .NET pourrait être de leur fait, en outre, APT 33 peut également considérer que le programme n’a pas une grande importance puisque les ordinateurs infectés sont effacés complètement.  » Malgré tout, impossible d’infirmer qu’un copycat pourrait se faire passer pour l’Iran, copiant ses méthodes et son discours religieux, même si son mobile devrait être alors éclairci.

Partager sur les réseaux sociaux