Perspectives IT

Cybersécurité, réaction et… communication

INTRODUCTION

Tout est parti de la lecture d’un article du magazine Zataz au sujet de l’attaque informatique qui s’est déroulée lors des jeux de Pyeongchang en Corée du Sud en février 2018.

Si vous êtes un fan de la série américaine 24 heures, vous savez que celle-ci repose sur un scénario simple mais prenant qui consiste en un cycle récurrent.
Toutes les deux heures, les héros connaissent une descente aux enfers pendant la première partie puis poursuivent la résolution de l’intrigue durant la seconde. Le scénario se déroulant sur 24 heures, il fallait bien sûr intégrer des rebondissements révélant que le « méchant » n’était pas celui que l’on croyait mais bien sûr une force / organisation supérieure nous emmenant vers une nouvelle enquête plus complexe.
Le scénario repose donc sur un principe de « poupées russes ».

On retrouve ce même principe dans cette attaque.

Quels sont les faits :

Comme le relate l’article (et d’autres), cette attaque par un ver informatique dénommé « Olympic Destroyer », devait tout simplement perturber et paralyser le bon déroulement de la quinzaine olympique.
Peu avant la cérémonie d’ouverture, elle a tenté d’effacer des fichiers systèmes des ordinateurs afin de perturber l’ensemble des systèmes liés à ses terminaux. Ceci devait avoir des répercussions sur le fonctionnement du réseau WiFi, le blocage des sites Web, voire même la perturbation du bon fonctionnement des tourniquets et des remontées mécaniques de la station. Bref un désastre s’annonçait.

1ère intrigue et premiere reponse

Comme il s’agissait d’un évènement d’envergure mondiale, des équipes de recherches se sont immédiatement penchées sur le mal pour le circonscrire au plus vite.
Entre les équipes Cyber de réponse à incidents, les chercheurs, les autorités et autres agences, tout à chacun a cherché à arrêter la progression du mal et à minimiser les impacts de celui-ci.

Jusque-là rien de nouveau, nous restons dans le principe Action / Réaction.

2ème intrigue et seconde réponse

Après avoir stoppé la progression de l’attaque, le challenge a été de découvrir qui était à l’origine de celui-ci (ou plutôt qui était derrière).

L’étude de ce ver a permis, dans les jours suivants, de faire une première communication pointant du doigt des pays qui auraient pu attenter au bon déroulement des Jeux.
L’étude des signatures du malware – une procédure habituelle –  attribuait l’attaque tantôt au groupe russe Fancy Bear, tantôt au groupe APT0 chinois puis enfin au groupe Lazarus en lien avec la Corée du Nord depuis leurs premiers cyber-braquages en 2015.

La Corée du Nord, cible toute trouvée, constituait le coupable privilégié.

3ème intrigue et, … pas de réponse

Seulement voilà, en réétudiant bien les signatures et les traces sur le malware, il semblerait que le coupable ne soit pas celui que l’on attendait et que l’auteur « d’Olympic Destroyer » ait bien dissimulé son jeu.
Il s’agirait donc bien d’un False Flag ou d’une parfaite imitation du code et des signatures utilisées par Lazarus pour tenter de … faire incriminer un Etat ?? Un dirigeant ??

Pour l’instant, nous n’avons aucune certitude quant à l’identité du commanditaire mais le fait de se dissimuler, couplé à la tentation de communiquer très vite et à tout prix a engendré des conséquences internationales non négligeables.
Avec Olympic Destroyer, une nouvelle dimension géostratégique – extrêmement sensible – s’est invitée dans le débat de la Sécurité Informatique.

En conclusion

La Cybersécurité se complexifie une nouvelle fois avec l’intégration de la falsification du code pour tenter de dissimuler les réels auteurs.
Toutes les équipes de défense doivent désormais intégrer ce nouveau paramètre dans le cadre des mesures de réponses mais aussi de prévention des menaces car tout comme nous avions beaucoup de False Positive dans les approches de détections d’intrusions nous allons bien vers ce phénomène de False Flag en Cyberdéfense.

Souhaitons bonne chance à tous les Jack Bauer de la Terre !!!!

Aurélie Freyss

1 comment

  1. Samuel L Brown - 22 juin 2018 11 h 16 min

    Il semblerait qu’Olympic Destroyer refasse une apparition ces derniers jours…. un 4ème épisode ?
    Cette copie utilise les mêmes techniques de camouflage ce qui fait qu’il est toujours impossible d’en connaitre l’origine et les auteurs …., mais tout concorde.
    Sur cette nouvelle version Olympic Destroyer se présente sous la forme d’un mail de Spear Phisihing contenant un document joint de type Word avec une macro VBA, celle-ci se chargeant entre autres de charger un script PowerShell, qui va lui même lancer un autre agent PowerShell (PowerShell Empire).
    Les cibles visées seraient financières mais aussi des Centres de recherches en biochimie. Les cibles seraient réparties sur la Russie, l’Ukraine, la Hollande, La Suisse, La France.
    La répartition entre cibles financières et biochimiques tendraient à faire croire qu’il y aurait plusieurs acteurs avec des buts différents qui se cacheraient derrière cette nouvelle vague d’attaque.

    Répondre

Commenter