Bonne question ! L‘attribution d’une attaque est un des problèmes récurrent et quasi-insoluble auquel est confronté la communauté de la sécurité informatique. Il va de soi qu’on souhaite toujours savoir qui nous attaque, mais à l’inverse des attaques militaires (quoique…), il est en pratique très difficile de savoir d’où vient la menace.
Plusieurs équipes sont spécialisées dans cette recherche, mais les résultats sont rarement définitifs : ils sont très souvent accompagnés d’un degré de vraisemblance, qui est très variable en pratique.
L’attaque des JO d’hiver de 2018
Les jeux olympiques d’hiver de 2018 ont été la cible d’attaques informatiques12, presque comme tous les grands événements ai-je envie de dire. Cette attaque, bien que peu visible, avait pour but de perturber l’ouverture des Jeux en bloquant les systèmes informatiques par une attaque de déni de service.
Mais savoir qui était derrière tout ça relève d’une enquête complexe et technique, dont le résultat ne sera (probablement) jamais certain ni définitif3. La Russie a été pointée du doigt dès l’origine, non pas en raison de preuves techniques, mais pour le mobile du crime, assez crédible, qui est d’avoir subi une lourde sanction en raison de pratiques généralisées45 de dopage. La Russie a bien sûr démenti6.
Dissimulation
Les attaquants ont bien compris que l’attribution d’une attaque pouvait avoir des répercussions importantes sur les relations entre organisations, sociétés, états, etc. ainsi que sur leur activité : être sous le feu des projecteurs n’est pas toujours une bonne publicité pour les groupes d’attaquants ; parfois, c’est l’inverse : faire savoir qu’on existe est un moyen de pression.
La plupart du temps, les pirates cherchent à se dissimuler, et les chercheurs tentent de les identifier. Ce travail étant complexe, ils se basent souvent sur des marqueurs, des similitudes de mode opératoire, de code, etc.
Les pirates les plus expérimentés connaissent les méthodes d’attributions, et s’en servent pour se dissimuler. Pour l’attaque des JO 2018, des chercheurs (notamment Kaspersky7) ont trouvé des marques attribués à certains groupes d’attaques nord-coréens, mais sans rapport avec d’autres éléments de l’attaque89. Cela conduit donc à penser que les attaquants sont d’une autre origine, et cela montre surtout qu’il sera toujours difficile d’être définitif sur l’attribution certaine d’une attaque.
[…] attribuer des attaques, […] reste quelque chose de très complexe, relève généralement d’une décision politique et comporte toujours un risque de se faire manipuler
G. Poupard, directeur général de l’ANSSI, cité sur sciencesetavenir.fr
Un cas d’école : NotPeya
Ce ransomware présumé est un cas très intéressant qui montre bien la difficulté d’attribution d’une attaque. L’actualité de début 2017 s’est révélée très riche, car à peine avait-on passé WannaCry qu’une nouvelle attaque s’abattait sur le monde libre et civilisé (voire même ailleurs) : Petya10. Or not Petya. Reprenez les failles de WannaCry, ajoutez quelques ingrédients et voilà la nouvelle cybermenace du moment. Et hop : volà un nouveau ransomware. Quoique…
Quoique finalement on s’est rendu compte qu’il était assez mal écrit, tout comme WannaCry11 après analyse12. Toutefois il est plausible que cette piètre qualité soit plutôt la signe d’une tentative de camouflage, afin de faire penser qu’il s’agit d’un ransomware alors que le but est purement destructif1314, comme le pense également Matt Suiche15. Tout est possible : soit ce sont des pieds nickelés qui ont programmé un ransomware qui ne marche pas, soit ce sont des pieds nickelés qui ont tenté maladroitement de cacher leur wiper en ransomware.
Ou alors il ne s’agit que d’un leurre servant à détourner l’attention d’une autre attaque, ou bien il s’agit tout simplement d’une action d’effacement des traces d’une attaque : supprimer un fichier (en passant par le système d’exploitation) n’est en général pas suffisant pour en supprimer tout le contenu, alors que chiffrer un fichier sans conserver la clé de chiffrement revient à faire disparaître complètement son contenu…
KillDisk
KillDisk est également un cas intéressant, car si son code avait pour objet d’effacer le Master Boot Record des disques durs infectés, des chercheurs de Trend Micro16 se sont rendus compte que ce malware ciblait des établissements bancaires en vue de perpétrer une attaque contre le réseau SWIFT17, probablement pour détourner l’attention des équipes de sécurité. La Corée du Nord18 pourrait être à l’origine de ce genre d’attaque (à Mexico19 ou au Chili20).
Encore un exemple
Basique, mais certains attaquants usurpent la notoriété d’autres groupes pour faire peur et probablement tenter d’extorquer de l’argent à faible coût21.
Conclusion
Déjà il est difficile d’attribuer avec certitude l’auteur (au sens large) d’un programme malveillant, alors imaginez quand celui-ci tente de brouiller les pistes !
Sources
- http://www.globalsecuritymag.fr/False-flag-olympique-comment-le,20180308,77421.html
- https://securelist.com/the-devils-in-the-rich-header/84348/