Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Olympic Destroyer, les dessous de l’enquête

octobre 2018 par Emmanuelle Lamandé

Olympic Destroyer a particulièrement marqué les esprits en 2018, notamment pour avoir tenté de saboter les Jeux Olympiques d’hiver de Pyeongchang, le tout en essayant de faire porter le chapeau à la Corée du Nord. Félix Aimé, Chercheur au sein de l’équipe GReAT de Kaspersky Lab, revient à l’occasion des Assises de la Sécurité sur les dessous de l’enquête : mode opératoire de ce programme malveillant, cibles, origine… Le moins que l’on puisse dire avec Olympic Destroyer est qu’il ne faut jamais se fier aux apparences…

En février 2018, le logiciel malveillant Olympic Destroyer a frappé les organisateurs, les fournisseurs et les partenaires des Jeux Olympiques d’hiver qui se sont déroulés à PyeongChang en Corée du Sud, à travers différentes actions de cybersabotage. Ce n’était pas un réseau informatique en particulier qui était dans le viseur des attaquants, mais l’évènement dans son ensemble. Olympic Destroyer a ainsi temporairement paralysé des systèmes informatiques avant la cérémonie d’ouverture des JO, éteignant des écrans, coupant le Wi-Fi et bloquant le site Web des Jeux de sorte que des visiteurs ne puissent plus imprimer leurs tickets. Kaspersky Lab a également découvert que plusieurs stations de ski en Corée du Sud ont été victimes de ce ver informatique, qui interrompait le fonctionnement des tourniquets et des remontées mécaniques. Heureusement, au final, plus de peur que de mal, d’autant que ce malware aurait pu avoir des effets dévastateurs.

L’opération malveillante avait toutefois commencé en amont des JO. Bien avant l’acte de sabotage, des courriels d’hameçonnage, déposant des implants PowerShell Empire, ont en effet été envoyés à différentes entités associées aux Jeux Olympiques. Lors de l’analyse post-mortem dans l’un des réseaux compromis par Olympic Destroyer, les chercheurs de Kaspersky Lab ont pu découvrir que la compromission initiale avait été réalisée à l’aide d’un accès RDP d’un prestataire sud-coréen. Les attaquants ont ensuite utilisé Metasploit, TeamViewer, PowerShell Empire, ainsi que d’autres outils pour se latéraliser au sein du réseau compromis et sécuriser leurs accès. Pour parvenir à ses fins, Olympic Destroyer a également utilisé PSExec de Windows et déposé un programme de destruction (« destroyer component »).

Ce composant de sabotage a notamment permis de :
- Supprimer l’ensemble des shadow copies, mais aussi des backups créés avec Wbadmin ;
- Désactiver le mode de récupération de Windows lors du boot ;
- Nettoyer les logs Windows Security & System locaux ;
- Désactiver l’ensemble des services Windows actifs ;
- Et réécrire les fichiers.

Qui se cache derrière Olympic Destroyer ?

L’attribution d’une attaque reste une question épineuse dans la sphère cyber. Toutefois, les chercheurs du GReAT sont aujourd’hui certains que cette attaque a été réalisée à des fins de destruction avec la volonté de faire porter le chapeau à la Corée du nord. Les attaquants ont effectivement voulu se faire passer pour « Bluenoroff », un mode opératoire associé à la Corée du nord, en falsifiant le module de sabotage, reliant par ce biais Olympic Destroyer au groupe Lazarus. De prime abord, certaines similitudes dans les tactiques, techniques et procédures (TTP) favorisaient, en effet, ce rapprochement. Cependant, certaines incohérences avec les TTP de Lazarus ont conduit les experts de Kaspersky Lab à pousser leurs recherches plus loin. De plus, le contexte de réchauffement des relations entre les deux Corées et la stratégie de séduction de la part de Kim Jong-un en marge des JO ne collait pas vraiment avec cette hypothèse d’attaque nord-coréenne. Après analyse, les chercheurs ont découvert que l’ensemble ne cadrait pas avec le code : tout avait été contrefait afin d’imiter à la perfection la signature de Lazarus. Les chercheurs en ont donc déduit qu’il s’agissait en fait d’un « false flag » très élaboré, placé intentionnellement à l’intérieur du malware afin d’aiguiller les enquêteurs sur une fausse piste.

Si ce n’est pas Lazarus, qui pourrait alors être à l’origine d’Olympic Destroyer ? Un certain nombre d’indicateurs suggèrent aujourd’hui qu’il pourrait exister un lien entre Olympic Destroyer et la menace russophone Sofacy/Hades. Cette organisation reste donc à l’heure actuelle la principale suspecte.
Hades est un cluster d’activité du mode opératoire russophone Sofacy, encore aujourd’hui très peu étudié en sources ouvertes. Ce mode opératoire est probablement lié à Sandworm et BlackEnergy. Ce même mode opératoire est également connu pour être associé à NotPetya, BadRabbit et d’autres attaques par sabotage. Il est spécialisé dans l’interférence, le sabotage et semble s’être invité depuis 2016 dans différentes campagnes présidentielles occidentales et autres événements géopolitiques.

Olympic Destroyer, le retour…

En mai/juin 2018, Kaspersky Lab a pu identifier de nouvelles campagnes d’hameçonnage ayant les mêmes TTP qu’Olympic Destroyer, ciblant cette fois-ci des organisations financières en Russie et des laboratoires européens de prévention des menaces biologiques et chimiques. Le groupe responsable de la menace répand son logiciel malveillant par le biais de documents de spear phishing qui ressemblent fort aux documents infectés utilisés lors de l’opération menée lors des Jeux olympiques d’hiver. Toutes les charges utiles finales extraites des documents malveillants ont été conçues pour fournir un accès générique aux ordinateurs infectés. Les chercheurs ont pu remarquer la même obfuscation des macros MS Office, mais aussi l’utilisation de PowerShell Empire obfusqué et de Metasploit.
Depuis le mois de juillet, aucune autre campagne n’a été détectée. Toutefois, Olympic Destroyer reste à surveiller de près, et les entreprises doivent faire preuve de vigilance.

Quelques conseils pour se prémunir de ce type d’attaque

Comment peut-on se protéger de ce type de menaces ? Félix Aimé recommande notamment aux entreprises de :
-  Empêcher, si possible, Wscript, Cscript, Certutil, PowerShell, Regsvr32… de communiquer à l’extérieur de votre SI ;
-  Désactiver l’exécution des macros quand elles proviennent d’Internet ou de sources non fiables, et garder Microsoft Office à jour sur ses patchs de sécurité ;
-  Journaliser, et centraliser la journalisation, de PowerShell, WMI à l’intérieur de votre réseau. Mettre en œuvre Sysmon pour une journalisation plus avancée ;
-  Bloquer les plages d’adresses IP/hashs liés à des outils d’administration à distance qui ne sont pas utilisés par vos équipes réseau (TeamViewer par exemple) ;
-  Enfin, penser défense en profondeur du SI : appliquer de bonnes stratégies d’administration, un cloisonnement entre les rôles, et auditer les possibles chemins de latéralisation via les privilèges accordés aux utilisateurs.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants