Le malware d’AutoCAD serait un espion industriel

Découvert en février dernier au Pérou, le malware qui s’attaque au logiciel AutoCAD et dérobe les fichiers techniques serait un espion industriel chinois…

ACAD/Medre.A est un malware qui se camoufle dans des fichiers AutoCAD (schémas et dessins techniques), s’autocopie et s’installe sur le poste de celui qui les reçoit, et transmet ensuite une copie des fichiers présents sur le poste par mail… à un destinataire chinois.

Développé en langage LISP et qualifié de malware, ACAD/Medre.A a été découvert en février dernier au Pérou par l’éditeur de sécurité Eset. Il continue de se déployer dans les pays environnants, ainsi que dans la population des entreprises qui parlent espagnol, utilisent AutoCAD et échangent des fichiers.

Le voleur serait chinois

Depuis, Eset a découvert que ACAD/Medre.A a été développé en VBScript et s’exécute sur l’interpréteur Wscript.exe de Windows. Le template (interface graphique) AutoCAD affecté par le malware – qui concerne les versions 14.0 à 19.2 du programme et qui modifie l’exécuteur d’AutoLISP (acad.lsp), le fichier qui lance AutoCAD – provenait de plusieurs URL.

Eset a également découvert que les fichiers dérobés étaient expédiés vers plusieurs adresses mail chinoises hébergées pour 23 d’entre elles chez l’opérateur 163.com et pour 21 autres sur qq.com, deux opérateurs internet chinois. Contactés par l’éditeur de solutions de sécurité, les opérateurs ont fermé le robinet qui alimentait les comptes mail. L’ensemble aurait profité du port 25 resté ouvert sur les postes attaqués, le pare-feu n’ayant pas été configuré pour bloquer ce port.

Tir à l’aveugle, mais des résultats

L’affaire renvoie vers des pratiques d’un autre âge, si l’on peut exprimer ainsi les débuts de l’internet. En effet, en l’absence de réseau de botnets (PC servant à leur insu de relais de propagation des menaces) et de serveur d’administration, il semble qu’ACAD/Medre.A soit une attaque « one shot », sans cible spécifique, mais visant à amasser un maximum d’informations industrielles (design, plan, etc.), puis à trier le tout afin d’exploiter ce qui peut se révéler intéressant. Une forme d’expression de l’espionnage industriel.

Quant aux enseignements que l’on peut en tirer, ils sont simples : l’inconscience, voire l’incompétence de certaines entreprises et de leurs conseils est telle qu’une simple attaque lancée en aveugle – la menace est embarquée sur un simple fichier AutoCAD qui s’échange par mail – peut suffire à des pirates mafieux pour dérober des secrets industriels !

Crédit photo © Yuri Arcurs – Fotolia.com