Qui est à l’origine d’Olympic Destroyer, un ver qui a temporairement paralysé les systèmes informatiques avant la cérémonie d’ouverture des derniers Jeux Olympiques? Kaspersky Lab annonce avoir découvert l’origine et le fonctionnement de la cyberattaque, et donne un nom…
L’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a publié les résultats de ses recherches sur les attaques du malware Olympic Destroyer, “apportant les preuves techniques“, d’un « false flag » (faux drapeau) très élaboré placé à l’intérieur du ver par son créateur afin de masquer la véritable origine de la menace.
Rappelons que le ver Olympic Destroyer a temporairement paralysé des systèmes informatiques avant la cérémonie d’ouverture, éteignant des écrans, coupant le Wifi et bloquant le site web des Jeux de sorte que des visiteurs ne pouvaient plus imprimer leurs tickets. Plusieurs stations de ski en Corée du Sud ont aussi été victimes de ce ver informatique, qui interrompait le fonctionnement des tourniquets et des remontées mécaniques, selon Kaspersky. Des équipes de recherche du monde entier ont attribué l’attaque, à l’époque, tantôt à la Russie, tantôt à la Chine, ou encore à la Corée du Nord.
Lazarus ou non ?
Pour Kaspersky, un indice parait effectivement relier le malware à Lazarus, un groupe connu pour ses liens avec la Corée du Nord. “Cette conclusion s’appuie sur une trace distinctive laissée par les auteurs des attaques. Une combinaison de certaines caractéristiques de l’environnement de développement, présentes dans les fichiers, pouvant servir d’« empreinte digitale », et permettant dans certains cas d’identifier les auteurs d’un malware et leurs projets”, indique l’éditeur. Dans l’échantillon analysé par Kaspersky Lab, cette empreinte présente une correspondance à 100 % avec des éléments déjà connus d’un malware signé Lazarus. En conjonction avec d’autres similitudes dans les tactiques, techniques et procédures (TTP), cela a conduit les chercheurs à conclure dans un premier temps qu’Olympic Destroyer était une nouvelle opération de Lazarus.
Peut-être Sofacy.L
Cependant, explique l’éditeur, les motifs et autres incohérences avec les TTP de Lazarus, découverts au cours de l’enquête qu’il a menée sur site, ainsi que les installations ciblées en Corée du Sud, l’ont incité à effectuer des analyses plus poussées. Et pour lui, l’ensemble ne cadrait pas avec le code : tout avait été contrefait afin d’imiter à la perfection la signature de Lazarus. « A notre connaissance, les éléments que nous avons pu découvrir n’avaient encore jamais été utilisés pour une attribution. Pourtant les auteurs des attaques ont décidé de s’en servir, prévoyant que quelqu’un les trouverait. Ils ont tablé sur le fait que ce type de contrefaçon est très difficile à prouver. C’est comme si un criminel s’était approprié l’ADN d’une autre personne et l’avait laissé sur le lieu du crime en lieu et place du sien. Nous avons établi que l’ADN découvert sur la scène de crime y avait été déposé volontairement. Tout cela démontre la quantité d’efforts que les auteurs des attaques sont prêts à déployer pour dissimuler leur identité le plus longtemps possible. Nous avons toujours souligné que l’attribution des activités malveillantes dans le cyberespace est très complexe car de nombreux éléments peuvent être contrefaits, et Olympic Destroyer en apporte très précisément l’illustration », commente Vitaly Kamluk, responsable de l’équipe de recherche de Kaspersky Lab en Asie-Pacifique.
L’attribution précise d’Olympic Destroyer demeure donc une question ouverte, mais pour Kaspersky Lab, le fait que les auteurs des attaques aient fait appel au service de réseau privé virtuel NordVPN et à un hébergeur nommé MonoVM, qui acceptent tous deux les paiements en bitcoins, combiné à “d’autres observations“, rappellent les pratiques de l’acteur malveillant russophone Sofacy.L…