Les responsables de la sécurité de Symantec, le géant de l'antivirus, et ceux de la plus modeste entreprise SecureWorks basée à Atlanta, s'opposent pour savoir si les récentes attaques exploitant un bug dans le Reader d'Adobe ont pour origine le groupe qui a piraté Google et des dizaines d'autres grandes entreprises l'an dernier.

Les chercheurs de Symantec affirment avoir trouvé des preuves indiquant que les pirates qui ont pénétré les systèmes de Google en décembre 2009 ont repris leurs activités. Mais pour Don Jackson, chercheur chez SecureWorks, la preuve de l'éditeur de Mountain View fait l'amalgame entre deux attaques distinctes. Le litige concerne des actions récentes menées via des fichiers PDF joints à des messages concernant l'entraineur de golf bien connu David Leadbetter qui exploitent un bug non corrigé dans le Reader d'Adobe.

Ces attaques ont été rendues publiques la semaine dernière par le chercheur en sécurité indépendant Mila Parkour qui en a avisé Adobe avant de publier ses conclusions préliminaires. Le jour suivant, l'éditeur sortait un avis de sécurité, annonçant dans la foulée qu'il corrigerait le problème au début du mois prochain. Les experts en sécurité ont qualifié ces attaques "d'effrayantes et de brillantes" dans la manière dont elles évitent les systèmes de défenses de Windows, normalement conçues pour isoler le code malveillant et pour limiter sa capacité à exécuter des logiciels malveillants.

C'est Symantec qui a tiré le premier. L'expert en sécurité dit avoir relevé des signes d'attaque par e-mails "au moins à partir du 1er septembre," ajoutant par l'intermédiaire de son chercheur Karthik Selvaraj que le libellé des récents mails était "très similaire" à la formulation utilisée dans les attaques - baptisées «Opération Aurora» par un chercheur de McAfee - menées contre Google et les autres en janvier 2010. Google, qui avait remonté les attaques d'Aurora jusqu'aux hackers chinois, avait menacé d'interrompre ses activités en Chine. À l'époque, le géant de Mountain View avait qualifié les attaques de «très sophistiquées et ciblées», et avait indiqué qu'au moins 20 autres grandes entreprises avaient subi le même type d'agressions. Depuis, Google a trouvé un compromis sur la question de la censure avec les autorités chinoise et continue de proposer son portail de recherche.

Des deux attaques issues du même groupe ?

«Nous avons examiné la façon dont ils ont propagé et renouvelé la récente série d'attaques," a déclaré Joe Chen, directeur de l'ingénierie au sein du groupe de sécurité et de riposte de Symantec dans une interview pour expliquer pourquoi il estime que ces deux attaques ont été initiées par le même groupe. Karthik Selvaraj trouve aussi d'autres similitudes. "Par exemple, l'utilisation d'un "zero day"dans un document PDF, ou encore la manière dont l'exécutable a été laché sur le système. Tous ces modes portent la signature de la méthode Hydraq", a t-il déclaré. Hydraq, c'est le nom attribué par Symantec au cheval de Troie introduit en janvier par les attaques d'Aurora sur les ordinateurs piratés. "Ils utilisent les mêmes techniques que Hyrdraq, ce qui nous conduit à croire que, ou bien deux groupes se partagent leur savoir faire, ou bien il s'agit d'un seul et même groupe," a ajouté Joe Chen.

Mais Don Jackson est plus prudent. "Pas si vite, Hydraq est une porte dérobée dans Trojan," a t-il déclaré en parlant du malware qui, une fois installé par le biais des attaques Aurora et par celles du mail Leadbetter, ouvre l'accès à l'ordinateur infecté, laisse l'attaquant télécharger dans les systèmes plus de code malveillant depuis des serveurs distants pour en prendre le contrôle. "De nombreux cybercriminels, et particulièrement les pirates chinois, utilisent Hydraq, ce qui en fait une pièce à conviction un peu pauvre," a-t-il poursuivi. "Affirmer que les deux attaques ont utilisé Hydraq, c'est comme dire que deux attaques tout à fait indépendantes ont été initiées par le même groupe parce que les deux ont utilisé Zeus," a t-il encore dit, se référant à la boîte à outil du ...

Illustration : Intrusion du malware Hydraq dans un PC, source Symantec

. Web-profils.com, la place de marché du conseil et de l'ingénierie