Ceux qui voulaient brouiller les pistes (2/3)
Ou comment des chercheurs en sécurité informatique ont failli être entraînés vers une fausse piste.
Bonsoir,
Bienvenue pour la suite de cet épisode de Pwned sur l’attaque informatique des Jeux Olympiques d’hiver de PyeongChang.
Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
La semaine dernière, je vous racontais cette ouverture cauchemardesque des Jeux Olympiques 2018, puis l’identification d’un wiper, Olympic Destroyer, derrière cette attaque. C’est bien gentil tout ça, mais alors, qui a bien pu vouloir s’attaquer aux Jeux d’hiver?
Première constatation : comme son nom l’indique, le wiper utilisé dans l’attaque a un objectif destructeur. On peut donc assez raisonnablement exclure la piste criminelle. Des escrocs ayant pu s’introduire dans le réseau des Jeux auraient pu soit lancer une attaque par rançongiciel pour extorquer une rançon, soit faire main basse discrètement sur des infos sensibles (données bancaires, mots de passe) exploitées ou vendues ensuite. La destruction de données, sans demande de rançon ni gain financier visible, c'est le signe qu'un Etat est probablement à la manœuvre.
Deuxième et troisième constatations d'ailleurs : ce sont des Jeux Olympiques et ils se déroulent en Corée du Sud. La presse se fait donc rapidement l’écho de deux suspects très crédibles : la Russie et la Corée du Nord. Moscou vient tout juste d’être suspendu de la compétition pour sa triche aux Jeux précédents, ceux de 2014 à Sotchi.
Le pays aurait donc pu avoir un mobile à la suite de cette suspension présentée comme un complot américain : la vengeance, un plat qui se mange donc froid, dans la neige. Toujours prompte à voir des machinations partout, la diplomatie moscovite prévenait même deux jours avant l’ouverture de la compétition qu’il y allait y avoir des accusations d’une trace russe dans un piratage des Jeux de la Corée du sud.
L’autre grand suspect, c’est la Corée du Nord. Cette mise en cause s’explique aisément. Les deux Corées sont officiellement toujours en guerre, même si les opérations militaires proprement dites, hors escarmouches, se sont terminées il y a 70 ans. La Corée du Nord a également un gros passif en matière d’opérations cyber. A l’époque, on spécule sur l’implication de la dictature dans le déploiement du rançongiciel WannaCry et sur son rôle dans le hack de Sony Pictures.
On a donc deux suspects théoriques assez crédibles. Penchons-nous maintenant sur la source de l’attaque. A l’époque, on pense par exemple à une compromission d’Atos, l’un des fournisseurs informatique des Jeux.
Le magazine Cyberscoop remarque ainsi que l’attaquant avait sans doute déjà compromis l’informatique de l’entreprise trois mois avant les Jeux, en décembre. Et on découvre également que les serveurs de deux stations de ski avaient elles aussi été touchées par le ver destructeur qui s’attaquait, rappelez-vous, aux contrôleurs de domaine de l’organisation.
Après avoir mis la main sur une copie du malware, les spécialistes de la sécurité informatique commencent leurs investigations. Et ils vont rapidement trouver un truc très intéressant. On sait depuis les premières analyses de Talos qu’Olympic Destroyer a des airs de famille avec deux autres attaques informatiques, NotPetya et Bad Rabbit.
Mais le malware présente aussi des similitudes avec l’un des wiper de Bluenoroff, l’une des deux sections du terrible groupe Lazarus, ces pirates nord-coréens. Les deux programmes malveillants ont le même toc, effacer seulement les 1000 premiers octets des fichiers volumineux.
Il partage également une portion non négligeable de code (un peu moins de 20%) avec un outil utilisé le groupe de cyberespionnage lié à la Chine APT3 (ou Gothic Panda) qui l'emploie pour voler des informations. On constate aussi des similitudes dans la génération de clés avec une fonction déjà vue chez APT10 (Stone Panda), un autre groupe relié à Pékin.
Un dernier élément fait pencher la balance en faveur de la Corée du Nord. Les métadonnées du fichier du malware, qui donnent des indices sur les outils de programmation utilisés pour l’écrire, correspondent parfaitement à celui d’un wiper déjà utilisé par le groupe Lazarus.
A ce stade de l’histoire, les carottes semblent cuites. Voici le résumé qu’on aurait pu écrire: histoire d’embêter Séoul, l’encombrant voisin aidé par son allié traditionnel chinois aurait tenté un vicieux sabotage des Jeux olympiques d’hiver.
Sauf qu’il y a un truc qui cloche. Comme va le remarquer le chercheur de Kaspersky Igor Soumenkov, la correspondance des en-tête des méta-données, le “Rich header” en anglais, est trop ressemblante pour être vraie.
Prenons par exemple la version de Visual Studio, l’éditeur de code mentionné dans les méta-données, soit disant à l’origine de la programmation du malware. Après un examen minutieux des bibliothèques appelées dans le code, le chercheur constate que celles-ci ne correspondent pas à celles utilisées dans la version mentionnée dans le Rich header !
Ces méta-données semblent en fait avoir été falsifiées. A l’appui de cette thèse, on sait qu’il y a eu une autre version d’Olympic Destroyer, téléchargée depuis la France le 9 février 2018, qui comportait un en-tête différent, sans doute l’original. Pour les experts de Kaspersky, c’était sans doute une sorte de test mené un peu à la va-vite à la dernière minute, d’où cet oubli de modification de l’en-tête.
Mais quel intérêt de modifier le Rich header? Hé bien, cela pourrait aider une fois l’attaque passée à tromper des chercheurs en sécurité informatique en les aiguillant vers une fausse piste. Qui croira un démenti de la Corée du Nord? Et si ensuite, un autre État ou groupe est mis en cause, cette multiplication des pistes va affaiblir l’accusation.
C’est pour ça que dans cette histoire, on va parler d'attaque sous fausse bannière (false flag en anglais). Cette expression désigne cette façon de brouiller les pistes pour faire accuser un autre, ici la Corée du Nord.
Ironie de l’histoire, c’est Kaspersky qui lève rapidement le lièvre. Mais sans toutefois accuser directement la Russie, l’autre grand suspect dans cette affaire et aussi le pays d’origine de cet éditeur.
On imagine qu’ils sont un peu coincés dans cette histoire. D’ailleurs, qui dit que l’attaque sous fausse bannière n’était elle-même pas contenue dans un autre subterfuge, comme le remarque Kaspersky ?
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Si vous voulez me payer un café, vous savez ce qu’il faut faire (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Destructive Malware Wreaks Havoc at PyeongChang 2018 Winter Olympics
Dopage : le CIO suspend la Russie aux JO d’hiver de 2018, pas ses athlètes
Menacée d’être privée de JO d’hiver, la Russie contre-attaque
Russia alleges Western media preparing bogus Olympic report
WannaCry : la Corée du Nord est mise en cause
Sony Pictures : le FBI persiste à dénoncer la Corée du Nord
Atos : le géant français enquête sur l’attaque de la cérémonie d’ouverture des JO
Atos, IT provider for Winter Olympics, hacked months before Opening Ceremony cyberattack
NotPetya, le logiciel rançonneur à propagations multiples
Who Wasn’t Responsible for Olympic Destroyer?