[gull] Slingshot

[Daniel Cordey]

On 13. 03. 18 19:10, Marc SCHAEFER wrote:
>
> Il semblerait que c'est une attaque 100% Microsoft, mais qui utilise
> les routeurs MikroTic comme de grosses clés USB.


Oups, je m'étais arrêté au simple fait que le vecteur initial était 
MikroTic qui tourne avec un OS basé Linux... Pour le reste en effet je 
me suis dit que c'était comme dab :-)
> Si le routeur contient la version vulnérable (apparemment préinstallée
> parfois),

C'est en effet là que j'ai dressé l'oreille. Comment se fait-il qu'une 
société qui livre des routeurs avec un OS Linux puisse avoir du code 
viral préinstallé ? MikroTic a annoncé qu'ils travaillaient à fournir un 
patch. J'en ai déduit qu'il y avait une faille exploitée après livraison 
chez le client.
> Cela n'a pas été détecté pendant 6 ans.

Il y en a peut-être d'autre encore... :-)

> Ce qui semble faire peur aux vendeurs d'anti-virus Microsoft c'est qu'ils
> ne l'ont pas détecté. La possibilité d'écrire des virus non détectables
> est pourtant documentée depuis longtemps.

W* n'ayant pas de concept de multi-user, c'est une course sans fin qui 
consiste à rendre une passoire étanche en bouchant chaque trou une fois 
qu'il est découvert. La situation ne va faire qu'empirer puisqu'il 
semble qu'il y ait deux tendances, la première bien visible avec les 
ransomware, et la deuxième complètement opposée et cherchant à rester le 
plus indétectable possible. Il existe de nombreux tests démontrant la 
faible réactivité des logiciels antivirus basés sur la "balayage" du 
système pour détecter les virus. Mais ce n'est pas une pour baisser la 
garde sous Linux, car il est certains que les attaques vont devenir de 
plus en plus sophistiquées.

Merci pour ces explications détaillées

dc