A qui la faute ?

Contenu

Bonne question ! L‘attribution d’une attaque est un des problèmes récurrent et quasi-insoluble auquel est confronté la communauté de la sécurité informatique. Il va de soi qu’on souhaite toujours savoir qui nous attaque, mais à l’inverse des attaques militaires (quoique…), il est en pratique très difficile de savoir d’où vient la menace.

Plusieurs équipes sont spécialisées dans cette recherche, mais les résultats sont rarement définitifs : ils sont très souvent accompagnés d’un degré de vraisemblance, qui est très variable en pratique.

L’attaque des JO d’hiver de 2018

Les jeux olympiques d’hiver de 2018 ont été la cible d’attaques informatiques¹², presque comme tous les grands événements ai-je envie de dire. Cette attaque, bien que peu visible, avait pour but de perturber l’ouverture des Jeux en bloquant les systèmes informatiques par une attaque de déni de service.

Mais savoir qui était derrière tout ça relève d’une enquête complexe et technique, dont le résultat ne sera (probablement) jamais certain ni définitif³. La Russie a été pointée du doigt dès l’origine, non pas en raison de preuves techniques, mais pour le mobile du crime, assez crédible, qui est d’avoir subi une lourde sanction en raison de pratiques généralisées⁴⁵ de dopage. La Russie a bien sûr démenti⁶.

Dissimulation

Les attaquants ont bien compris que l’attribution d’une attaque pouvait avoir des répercussions importantes sur les relations entre organisations, sociétés, états, etc. ainsi que sur leur activité : être sous le feu des projecteurs n’est pas toujours une bonne publicité pour les groupes d’attaquants ; parfois, c’est l’inverse : faire savoir qu’on existe est un moyen de pression.

La plupart du temps, les pirates cherchent à se dissimuler, et les chercheurs tentent de les identifier. Ce travail étant complexe, ils se basent souvent sur des marqueurs, des similitudes de mode opératoire, de code, etc.

Les pirates les plus expérimentés connaissent les méthodes d’attributions, et s’en servent pour se dissimuler. Pour l’attaque des JO 2018, des chercheurs (notamment Kaspersky⁷) ont trouvé des marques attribués à certains groupes d’attaques nord-coréens, mais sans rapport avec d’autres éléments de l’attaque⁸⁹. Cela conduit donc à penser que les attaquants sont d’une autre origine, et cela montre surtout qu’il sera toujours difficile d’être définitif sur l’attribution certaine d’une attaque.

[…] attribuer des attaques, […] reste quelque chose de très complexe, relève généralement d’une décision politique et comporte toujours un risque de se faire manipuler
G. Poupard, directeur général de l’ANSSI, cité sur sciencesetavenir.fr

Un cas d’école : NotPeya

Ce ransomware présumé est un cas très intéressant qui montre bien la difficulté d’attribution d’une attaque. L’actualité de début 2017 s’est révélée très riche, car à peine avait-on passé WannaCry qu’une nouvelle attaque s’abattait sur le monde libre et civilisé (voire même ailleurs) : Petya¹⁰. Or not Petya. Reprenez les failles de WannaCry, ajoutez quelques ingrédients et voilà la nouvelle cybermenace du moment. Et hop : volà un nouveau ransomware. Quoique…

Quoique finalement on s’est rendu compte qu’il était assez mal écrit, tout comme WannaCry¹¹ après analyse¹². Toutefois il est plausible que cette piètre qualité soit plutôt la signe d’une tentative de camouflage, afin de faire penser qu’il s’agit d’un ransomware alors que le but est purement destructif¹³¹⁴, comme le pense également Matt Suiche¹⁵. Tout est possible : soit ce sont des pieds nickelés qui ont programmé un ransomware qui ne marche pas, soit ce sont des pieds nickelés qui ont tenté maladroitement de cacher leur wiper en ransomware.

Ou alors il ne s’agit que d’un leurre servant à détourner l’attention d’une autre attaque, ou bien il s’agit tout simplement d’une action d’effacement des traces d’une attaque : supprimer un fichier (en passant par le système d’exploitation) n’est en général pas suffisant pour en supprimer tout le contenu, alors que chiffrer un fichier sans conserver la clé de chiffrement revient à faire disparaître complètement son contenu…

KillDisk

KillDisk est également un cas intéressant, car si son code avait pour objet d’effacer le Master Boot Record des disques durs infectés, des chercheurs de Trend Micro¹⁶ se sont rendus compte que ce malware ciblait des établissements bancaires en vue de perpétrer une attaque contre le réseau SWIFT¹⁷, probablement pour détourner l’attention des équipes de sécurité. La Corée du Nord¹⁸ pourrait être à l’origine de ce genre d’attaque (à Mexico¹⁹ ou au Chili²⁰).

Encore un exemple

Basique, mais certains attaquants usurpent la notoriété d’autres groupes pour faire peur et probablement tenter d’extorquer de l’argent à faible coût²¹.

Conclusion

Déjà il est difficile d’attribuer avec certitude l’auteur (au sens large) d’un programme malveillant, alors imaginez quand celui-ci tente de brouiller les pistes !

Sources

http://www.globalsecuritymag.fr/False-flag-olympique-comment-le,20180308,77421.html
https://securelist.com/the-devils-in-the-rich-header/84348/

Références

↑ , « Les Jeux olympiques de Pyeongchang victimes d’une attaque informatique » sur lemonde.fr,

↑ , « Le début des JO 2018 perturbé par une cyberattaque » sur Le Monde Informatique,

↑ , « Les jeux olympiques de Pyeongchang ont été la cible d'une cyberattaque » sur Usine Digitale, (consulté le 08/03/2018)

↑ « JO 2018 : la Russie suspendue pour avoir organisé un dopage d'État » sur Le Point,

↑ « JO-2018: La Russie suspendue pour un dopage d'état, ses sportifs sous drapeau olympique » sur Capital,

↑ « Cyberattaque : les JO 2018 de Pyeongchang n’y échappent pas » sur Rédaction,

↑ (en) , « The devil’s in the Rich header » sur SecureList (Kaspersky Lab), 09/03/2024

↑ (en) « Sophisticated False Flags Planted in Olympic Destroyer Malware » sur www.securityweek.com (consulté le 09/03/2018)

↑ (fr) « False flag olympique : comment le malware Olympic Destroyer a été conçu pour tromper la communauté de la cybersécurité » sur Global Security Mag Online (consulté le 09/03/2018)

↑ (fr) , « Ransomware Petya : une cyberattaque déguisée contre l’Ukraine ? » sur Futura (consulté le 20/03/2018)

↑ (fr) , « WannaCrypt : de nombreuses erreurs dans le code du ransomware » sur www.nextinpact.com, 06/05/2017 (consulté le 20/03/2018)

↑ (en) , « WannaCry mistakes that can help you restore files after infection » sur SecureList, 01/06/2017

↑ (en) , « ExPetr/Petya/NotPetya is a Wiper, Not Ransomware » sur SecureList, 28/06/2017

↑ , « Cyberattaque Petya : le but du virus serait de détruire les fichiers » sur Le Figaro, 29/06/2017

↑ Matt Suiche, « Petya.2017 is a wiper not a ransomware » sur Comae Technologies, 28/06/2017 (consulté le 20/03/2018)

↑ (en) « New KillDisk Variant Hits Latin American Financial Organizations Again » sur Trend Micro, 07/06/2018 (consulté le 14/06/2018)

↑ (en) « Banco de Chile Wiper Attack Just a Cover For $10M SWIFT Heist » sur threatpost.com, 13/06/2018

↑ (en) « North Korea to blame for string of Latin America bank hacks, insiders say » sur cyberscoop.com, 18/06/2018 (consulté le 19/06/2018)

↑ (en) « Mexico Foiled a $110 Million Bank Heist, Then Kept It a Secret » sur Bloomberg, 29/05/2018

↑ (en) « Bank of Chile trading down after hackers rob millions in cyberattack » sur Reuters, 11/06/2018

↑ (en) « Cybercriminals Impersonate Russian APT ‘Fancy Bear’ to Launch DDoS Attacks » sur threatpost.com (consulté le 29/10/2019)

Date	Auteur	Catégories
19/06/2018	janiko	Concepts, Cyberguerre

A qui la faute ?

L’attaque des JO d’hiver de 2018

Dissimulation

Un cas d’école : NotPeya

KillDisk

Encore un exemple

Conclusion

Sources

Références

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

L’attaque des JO d’hiver de 2018

Dissimulation

Un cas d’école : NotPeya

KillDisk

Encore un exemple

Conclusion

Sources

Références

Partager :

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

Recherche sur le site

Étiquettes