Par Orianne Vatin le 29/08/2011
Après plusieurs mois de recherches intensives, les chercheurs ont enfin découvert le fichier back-door qui a permis aux pirates de s'introduire dans le RSA. Il se cachait juste sous leur nez, ou presque...
Le malware a été traqué sans relâche depuis l'attaque, mais, d'après F-Secure, il se dissimulait dans la base de données commune à l'industrie de la sécurité informatique. Sur son blog, l'entreprise explique que les hackers ont utilisé un fichier dénommé "2011 Recruitment plan.xls" attaché à un courriel (imitant les messages du site de recrutement Beyond.com) adressé à un employé d'EMC (le propriétaire du RSA) et forwardé à trois autres.
"Le problème, c'est que nous n'avions pas ce fichier. Et qu'apparemment personne ne l'avait", indique F-Secure qui explique alors que la chasse s'est prolongée plusieurs mois, et que ses salariés ont crée un outil d'analyse de données pour rechercher des fichiers XLS contenant des objets Flash, dans un répertoire de plusieurs millions d'infections connues. Finalement, le programme leur a signalé une correspondance, située dans un e-mail envoyé au dépôt "Virus Total" ; qui est partagé entre les éditeurs d'antivirus.
Ainsi, toutes ces sociétés avaient déjà le code malveillant qu'elle recherchaient, tout en ne le sachant pas. Ce dernier se base sur un malware social classique, conçu pour viser des utilisateurs individuels.