La ville de Norfolk, Virginia est sous le choc d’un effondrement informatique massif au cours duquel une famille non identifiée de codes malveillants a détruit les données de près de 800 ordinateurs dans toute la ville. L’incident fait toujours l’objet d’une enquête, mais les responsables de la ville affirment que l’attaque pourrait avoir été le résultat d’un ordinateur bombe à retardement planté à l’avance par un initié ou un employé et conçu pour se déclencher à une date précise.
Bon Cluffdirecteur du service informatique de la Ville de Norfolka déclaré que l’incident avait commencé le 9 février et que la ville s’efforçait depuis de reconstruire 784 PC et ordinateurs portables touchés (la ville gère environ 4 500 systèmes au total).
« Nous ne pensons pas qu’il soit venu d’Internet. Nous ne savons pas comment il est entré dans notre système », a déclaré Cluff. « Nous supposons que cela aurait pu être une ‘bombe à retardement’ attendant une date ou une heure pour se déclencher. Quoi qu’il en soit, cela a essentiellement détruit ces machines.
Cluff a déclaré que le logiciel malveillant semble avoir été conçu pour détruire les fichiers d’exploitation vitaux dans le dossier WindowsSystem32 sur les machines infectées. Cluff a déclaré qu’un répertoire System32 sain et fonctionnel pèse environ 1,5 Go, mais les ordinateurs infectés par ce logiciel malveillant encore non identifié ont vu leurs dossiers System32 réduits à environ un tiers de cette taille, ce qui les rend impossibles à démarrer. Cluff a ajouté que les employés de la ville sont invités à stocker leurs données sur des serveurs de fichiers, qui ont été largement épargnés par l’attaque, mais il a déclaré que les employés qui ont ignoré ces conseils et stocké des documents importants sur les ordinateurs de bureau concernés peuvent avoir perdu ces fichiers.
Les spécialistes informatiques de la ville ont découvert que le système servant de point de distribution du logiciel malveillant au sein du réseau de la ville était un serveur d’impression qui gère les travaux d’impression pour l’hôtel de ville de Norfolk. Cependant, une copie exacte du logiciel malveillant sur ce serveur peut ne jamais être récupérée, car les techniciens informatiques de la ville ont rapidement isolé et reconstruit le serveur d’impression incriminé.
« Évidemment, notre première réaction a été de l’arrêter et de restaurer les services, et au moins au début, nous n’étions pas préoccupés par la capture [the malware] ou le mettre de côté », a déclaré Cluff.
Cluff a déclaré que la ville traitait l’incident comme un crime et qu’elle avait informé le FBI. « Nous mettrons en quarantaine plusieurs PC de divers endroits et suivrons leur chaîne de possession pour aider à toute analyse médico-légale », a-t-il déclaré.
Seuls les ordinateurs qui ont été « éteints » entre 16 h 30 et 17 h 30 le mardi 9 février ont été touchés par l’attaque, a ajouté Cluff. C’est en partie à cause de la destruction des données, mais aussi parce que le logiciel malveillant a également modifié le fichier « boot.ini », un fichier essentiel qui indique à l’ordinateur l’emplacement du système d’exploitation Windows.
« C’est le temps qu’il a fallu à nos ingénieurs réseau et sécurité de la découverte au confinement », a-t-il déclaré. « Ainsi, tous ces employés qui étaient « verts »… nous savons maintenant qui ils sont. »