Le rootkit W32/Stuxnet-B exploite une vulnérabilité présente dans la manière dont Windows traite les fichiers de raccourci en .LNK, qui lui permet de s’exécuter automatiquement lorsque Windows Explorer accède à la clé USB. Une fois qu’il est en place, le rootkit entre en ‘mode discret’, masquant sa présence sur le PC infecté.

« Des menaces telles que le tristement célèbre ver Conficker se sont déjà diffusées avec succès via des clés USB dans le passé, mais pouvaient en partie être bloquées en désactivant Autoplay. Le risque est que d’autres malwares profitent à leur tour de la brèche ‘jour-zéro’ exploitée par le rootkit Stuxnet, ce qui porterait le problème à un tout autre niveau », commente Michel Lanaspèze, Directeur Marketing et Communication de Sophos Europe du Sud. « Le programme est toujours en cours d’analyse par la communauté de la sécurité, mais certains indices troublants suggèrent déjà qu’il pourrait essayer d’accéder à des données spécifiques aux systèmes SCADA de Siemens, un logiciel qui contrôle des infrastructures nationales critiques. »

Curieusement, les fichiers suspects portent la signature de Realtek Semiconductor Corp., un fournisseur majeur d’équipements informatiques.

« Il est important de ne pas sur-réagir à cette menace, car le programme vient seulement d’être découvert, et la communauté de la sécurité n’a pas encore complètement établi l’ampleur du risque pesant sur les systèmes SCADA. Mais le fait même que ceux-ci soient concernés signifie que cette attaque doit être examinée de près. Les yeux vont également se tourner vers Microsoft pour guetter la manière dont la compagnie va réagir à ce qui apparaît comme une nouvelle vulnérabilité non corrigée dans son code et exploitée par les pirates. »

Sophos détecte le fichier malveillant impliqué dans l’attaque sous le nom de W32/Stuxnet-B.