Ceux qui voulaient brouiller les pistes (3/3)
Après la mise hors de cause des pirates nord-coréens, la piste russe redevient brûlante.
Bonsoir,
Bienvenue pour la fin de cet épisode de Pwned sur l’attaque informatique des Jeux Olympiques d’hiver de PyeongChang.
Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
On l’a vu la semaine dernière : alors que les premiers indices techniques semblaient suggérer l’implication de la Corée du Nord ou de la Chine, finalement, c’était du bidon ! Reste la piste russe, qui est d’ailleurs très vite dénoncée par le renseignement américain.
Une quinzaine de jours après le piratage, les espions de Washington assurent ainsi que le GRU russe, l’un des services de renseignement de Moscou, celui des forces armées, est derrière l’attaque. Selon eux, l’utilisation de tactiques et d'adresses IP nord-coréennes servait uniquement à brouiller les pistes. Mais on n’en sait pas vraiment plus sur les preuves qui accuseraient les Russes.
Revenons sur le déroulé de l’attaque. On va découvrir plus tard que l’attaque informatique a été précédée de plusieurs campagnes de hameçonnage. Rien ne dit alors qu’il y a un lien, mais ça vaut le coup d’y jeter un coup d'œil, car les attaquants ont bien fracturé la serrure d’une façon ou d’une autre.
A la fin novembre 2017, une trentaine de personnes impliquées dans l’organisation de l’événement reçoivent ainsi un mail venant de l’adresse olympicgameinfo@gmail.com les invitant à ouvrir une pièce jointe relative à une liste de délégués VIP. Bien entendu, le faux fichier word permettait en fait d’introduire une porte dérobée sur l’ordinateur de la victime. On ignore précisément qui a mordu à l’hameçon, mais quoiqu’il en soit, le résultat a été là : des attaquants ont réussi à compromettre la sécurité informatique des organisateurs.
Plusieurs mois plus tard, ce fichier word de phishing est donc à son tour ausculté sur toutes les coutures. C’est à ce moment-là qu'un chercheur de FireEye, Michael Matonis, fait une découverte troublante. Les adresses IP utilisées par le script malveillant pour communiquer avec son serveur de commande et de contrôle ont déjà été vues quelque part. Elles avaient été utilisées dans le même genre de hameçonnage courant 2017 contre des activistes LGBT, des entreprises et des agences gouvernementales situés… en Ukraine.
Pas besoin aujourd’hui de rappeler qui voudrait nuire à des organisations ukrainiennes. Mais les découvertes du chercheur de FireEye, ne s’arrêtent pas là. Après avoir trouvé ce premier lien, il s'intéresse aux domaines hébergés par les adresses IP repérées. Et il finit par tomber sur une adresse, account-loginserv.com. Une sonnerie retentit dans la tête du chercheur.
Mais oui ! En août 2016, le FBI avait alerté contre des attaques en cours visant des fabricants de machines à voter. L’une des attaques s’était soldée par l’exfiltration de 200 000 adresses de messageries d’électeurs, qui avaient ensuite été ciblées par une campagne de phishing dont les liens frauduleux renvoyaient vers l’adresse account-loginserv.com. Cette campagne électorale américaine, on le sait bien aujourd’hui, a fait l’objet d’opérations de désinformations et d’influence russes intenses.
Simples rapprochements ou coïncidences, pourriez-vous rétorquer. Il est clair qu’on navigue difficilement dans cette histoire. Mais c'est tout de même un nouvel élément à charge qui montre que la Russie cherchait à viser les Jeux Olympiques d’hiver.
Tout cela sera plus tard étayé dans une procédure judiciaire américaine dévoilée à l’automne 2020. Les procureurs remarquent que la campagne de hameçonnage des auteurs d’Olympic Destroyer aurait été particulièrement intense, avec des envois usurpant par exemple l’identité du ministère de l’intérieur sud coréen, ou encore ce message de phishing visant le suisse Omega, le chronométreur officiel, avec un faux CV piégé envoyé appelant à activer les macros pour pouvoir le lire correctement. Une tactique bien connue en matière de cyberattaque : autoriser les macros peut permettre d'exécuter du code malveillant dissimulé dans le document.
La justice américaine relève également la création de trois applications mobiles, rapidement retirées des stores, visiblement à des fins de renseignement. Et il y a bien d’autres tentatives mentionnées dans l’acte d’accusation, qui souligne le mobile russe, une vengeance liée au bannissement des athlètes de Moscou sur fond de triche organisée.
Mais alors, comment les hackers du GRU auraient-ils alors réussi à s’introduire dans la bergerie? Eh bien pour les procureurs américains, c’est grâce à un hameçonnage chez l’un des fournisseurs IT (non nommé) des Jeux. Cette brèche dans l’environnement informatique, datée vers le 21 décembre, a ouvert les accès qui permettront ensuite de déployer le wiper Olympic Destroyer.
La chronologie de l’avancée de l’attaquant est très précise. Le 22 décembre, les intrus réussissent à rebondir depuis le premier poste infecté en faisant main basse sur les informations d’authentification d’un développeur de leur victime. Le 12 janvier, ils obtiennent les droits administrateurs d’un des réseaux de l’entreprise. Le 23, ils ont fait main basse sur plus de 16 000 postes ou serveurs chez leur cible, ce qui leur permet d’obtenir des informations confidentielles sur les Jeux olympiques et son architecture réseau, etc.
Le 9 février, à 19:42, heure coréenne, il n’y a plus qu’à lancer le wiper. Avec un résultat mitigé: oui, ils ont réussi à perturber l'événement. Mais les organisateurs ont su rapidement redresser la barre. Et pire, des hackers ont été identifiés. Selon la justice américaine, il s’agirait d’officiers du GRU, également mis en cause dans l'affaire des Macron Leaks, suspectés de faire partie du groupe d’élite Sandworm.
Deux ans après les faits, les accusations américaines sont ici formulées noir sur blanc, ce ne sont plus de simples citations de sources proches du dossier relayées dans la presse, avec des mises en examen pour l’orchestration de toute l’attaque informatique. Mais évidemment, les cinq officiers du GRU désignés - Iouri Sergueïevitch Andrienko, Sergueï Vladimirovitch Detistov, Artem Valeryevich Ochichenko, et Petr Nikolaïevitch Pliskin - n’ont pas été arrêtés.
La Russie n’est déjà pas coopérative pour extrader ses cybercriminels opérants depuis son sol, au nom du principe de non extradition de ses citoyens. Elle ne le sera donc encore moins pour ses propres soldats, qui on l’imagine n’ont certainement pas agi de leur propre initiative.
A quoi sert alors la mise en examen de ces militaires russes? Ok, cela prive désormais ces officiers du GRU de vacances dans une grande partie du globe, on a déjà vu que c’est un vrai problème pour pas mal de hackers russes. Mais si les chances que la procédure judiciaire se traduise par un procès sont quasiment nulles, c’est une façon de montrer à la Russie que l’Amérique n’est pas dupe.
Ironiquement, ce false flag se termine un peu en queue de poisson. En l’absence d’une conclusion judiciaire, il reste toujours une place au doute sur ce qu’il s’est réellement passé à PyeongChang. N’est-ce pas ce que cherchaient, depuis le départ, les attaquants?
A bientôt pour une nouvelle histoire de cybercrime,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Si vous voulez me payer un café, vous savez ce qu’il faut faire (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
First shots at South Korea could herald malware campaign of Olympic proportions
Malicious Life: Olympic Destroyer
Ingérence : comment la Russie a biaisé la campagne de 2016 au profit de Trump
US charges Russian hackers behind NotPetya, KillDisk, OlympicDestroyer attacks