Skip to content
Cyber Breaches
Recherche
WiperRésolu

Attaques du wiper Shamoon 2 contre le gouvernement saoudien

Une version réactivée du wiper Shamoon (Disttrack) a détruit des milliers d'ordinateurs au sein d'organismes gouvernementaux saoudiens, dont l'Autorité générale de l'aviation civile, écrasant les secteurs d'amorçage avec l'image d'un enfant syrien noyé.

Victime
Autorité générale de l'aviation civile saoudienne (GACA) et organismes gouvernementaux saoudiens
SecteurGouvernementTransport
PaysArabie saoudite
GroupeOilRig / APT33 (Iran, suspecté)

À partir de la soirée du 17 novembre 2016, une version réactivée du logiciel d'effacement Shamoon — également connu sous le nom de Disttrack — a ravagé les ordinateurs de plusieurs organismes gouvernementaux saoudiens, au premier rang desquels l'Autorité générale de l'aviation civile (GACA). La campagne, baptisée Shamoon 2, a marqué le retour de la même famille de logiciels malveillants qui avait paralysé Saudi Aramco en 2012.

Ce qui s'est passé

Le logiciel malveillant était préconfiguré avec une heure de déclenchement codée en dur. À 20h45, heure locale, le 17 novembre, les machines infectées ont commencé à écraser les fichiers puis à détruire le secteur d'amorçage (MBR), rendant les systèmes incapables de redémarrer. Là où le Shamoon de 2012 affichait un drapeau américain en flammes, Shamoon 2 a écrasé les fichiers avec la photographie d'Alan Kurdi, le bambin syrien noyé dont l'image est devenue un symbole de la crise des réfugiés — un message apparemment politique.

Les analystes de l'Unit 42 de Palo Alto Networks ont identifié au moins trois vagues : les 17 novembre 2016, 29 novembre 2016 et 23 janvier 2017. Les attaquants ont utilisé des identifiants de domaine légitimes — probablement récoltés lors d'intrusions antérieures — pour se propager latéralement, et une vague ultérieure a spécifiquement ciblé l'infrastructure de bureaux virtuels (VDI) Huawei, intégrant des identifiants administrateur codés en dur pour effacer même les environnements virtualisés.

Impact

  • Des milliers d'ordinateurs auraient été détruits au siège de la GACA, avec des données effacées et des opérations perturbées pendant plusieurs jours.
  • Plusieurs autres organismes gouvernementaux et civils saoudiens, dont des agences liées au travail et aux transports, ont été touchés au fil des trois vagues.
  • La GACA a publiquement minimisé l'impact, déclarant que seuls les systèmes administratifs de bureau — et non les systèmes de sécurité aérienne ou de contrôle du trafic — avaient été touchés.
  • Shamoon étant purement destructeur, il n'y a eu ni exfiltration de données ni rançon ; l'objectif était la perturbation et le sabotage.

Attribution

La famille Shamoon est largement attribuée par les gouvernements et chercheurs occidentaux à des acteurs étatiques iraniens, les campagnes étant reliées aux groupes suivis sous les noms d'APT33 et OilRig. Les recherches de Kaspersky ont rattaché les vagues de 2016-2017 à un wiper parallèle plus avancé baptisé StoneDrill, concluant que les deux opérations partageaient les mêmes intérêts tout en étant menées par des acteurs distincts. Aucun individu n'a jamais été inculpé.

Pourquoi c'est important

Shamoon 2 a confirmé que l'attaque de 2012 contre Aramco n'était pas un cas isolé mais l'ouverture d'une campagne soutenue de wipers contre le Golfe. Elle a démontré qu'un logiciel destructeur pouvait être ré-armé des années plus tard, programmé pour exploser en masse, et conçu pour atteindre l'infrastructure virtualisée — poussant l'Arabie saoudite à accélérer la création de son Autorité nationale de cybersécurité en 2017 et à renforcer les terminaux gouvernementaux dans tout le royaume.

Chronologie

  1. La première vague de Shamoon 2 se déclenche à 20h45, heure saoudienne, effaçant les systèmes de plusieurs organismes gouvernementaux saoudiens, dont l'Autorité générale de l'aviation civile.

  2. Une deuxième vague s'active à 1h30, heure saoudienne, contre un autre organisme saoudien, ciblant cette fois l'infrastructure de bureaux virtuels Huawei.

  3. Des rapports font état de milliers d'ordinateurs détruits à la GACA ; l'autorité confirme une attaque mais minimise son impact opérationnel.

  4. Une troisième vague de Shamoon 2 frappe d'autres cibles saoudiennes, dont des organisations du secteur pétrochimique.

  5. Kaspersky publie sa recherche « From Shamoon to StoneDrill », reliant la campagne à un nouveau wiper parallèle et aux intérêts iraniens.

Sources

  1. unit42.paloaltonetworks.comhttps://unit42.paloaltonetworks.com/unit42-second-wave-shamoon-2-attacks-identified/
  2. money.cnn.comhttps://money.cnn.com/2016/12/01/technology/saudi-arabia-hack-shamoon/
  3. securityweek.comhttps://www.securityweek.com/saudi-aviation-agency-downplays-impact-shamoon-attack/
  4. helpnetsecurity.comhttps://www.helpnetsecurity.com/2016/12/05/disttrack-wiper-hits-saudi-arabia/
  5. securelist.comhttps://securelist.com/from-shamoon-to-stonedrill/77725/

Incidents liés

WiperContenu

Effaceur destructeur HomeLand Justice contre l'Albanie (Iran MOIS, 2022)

Le ministère iranien du renseignement et de la sécurité, opérant sous le nom de « HomeLand Justice », a passé 14 mois à se maintenir dans les réseaux du gouvernement albanais avant de lancer un chiffrement de fichiers de type rançongiciel et un maliciel d'effacement de disque. L'Albanie a suspendu les services publics en ligne et est devenue le premier pays de l'histoire à rompre ses relations diplomatiques avec un État à la suite d'une cyberattaque.

Victim
Gouvernement d'Albanie
WiperRésolu

Attaque par effaceur WhisperGate

À la veille de l'invasion russe, un effaceur destructeur déguisé en rançongiciel a corrompu des secteurs d'amorçage maîtres et des fichiers dans des dizaines d'organisations gouvernementales, informatiques et associatives ukrainiennes, défigurant des sites officiels et annonçant la dimension cyber de la guerre à venir.

Victim
Organisations gouvernementales, informatiques et associatives ukrainiennes
Wiperunresolved

Attaque par wiper « MeteorExpress » contre les chemins de fer iraniens

Un wiper inédit nommé Meteor a paralysé le réseau ferroviaire national iranien, effaçant les ordinateurs des gares, immobilisant et retardant des centaines de trains, et défigurant les panneaux d'affichage avec un numéro à appeler : le bureau du Guide suprême Khamenei.

Victim
Chemins de fer de la République islamique d'Iran (RAI) / Ministère des Routes et du Développement urbain
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B