Olympic Destroyer : Le malware qui s’en est pris à l’ouverture des Jeux Olympiques

2
212

Le malware baptisé Olympic Destroyer aurait servi de support à la cyberattaque qui a touché les systèmes informatiques des organisateurs des Jeux Olympiques de PyeongChang lors de la cérémonie d’ouverture.

Alors que le Comité International Olympique (CIO) a signalé qu’une cyberattaque avait tenté de désorganiser les systèmes informatiques des Jeux Olympiques d’hiver de PyeongChang au moment de la cérémonie d’ouverture vendredi 9 février, les experts de la société de cybersécurité Talos ont réussi à remonter à la source potentielle de l’attaque, à savoir, un malware baptisé Olympic Destroyer, identifié de type “wiper” (destruction des données).

Les perturbations informatiques s’étant produites lors de la cérémonie d’ouvertures des jeux ont pu être maîtrisées mais les conséquences auraient pu être importantes si le malware avait réussi sa mission. Le site de l’organisation des Jeux olympiques aurait été paralysé pendant une demi-journée.

D’après les chercheurs qui l’on découvert sur le Web, Olympic Destroyer agirait de sorte à rendre hors service les systèmes informatiques en supprimant de nombreux fichiers systèmes. Le but n’était donc pas de dérober des informations sensibles, mais juste de perturber fortement l’événement…

Sur place, les organisateurs ont du faire face à des difficultés techniques engendrées par le malware en question : la cyberattaque est par exemple à l’origine de coupures du réseau Wi-Fi dédié à la presse et du dysfonctionnement des impression de billets.

Ce n’est que le début des investigations et d’autres éléments pourraient être découverts par la suite, comme par exemple, le mode d’infection et de propagation de la e-menace qui ciblait spécifiquement les systèmes d’information des JO d’hiver 2018. Talos a remarqué des similitudes avec les malwares BadRabbit et NotPetya, même si l’attribution reste quasi-impossible pour le moment.

John Hultquist, directeur d’analyse chez FireEye déclare à propos de la cyberattaque :

« Nous sommes encore en train de travailler à l’attribution de l’activité décrite sur le blog, et ne pouvons pour l’instant la connecter à aucun acteur connu. Nous avions déjà anticipé la probabilité d’une attaque de cette nature ciblant les jeux, en particulier en provenance d’acteurs russes. Des acteurs tels qu’APT28 ont ciblé de manière croissante des organisations associées aux Jeux et les russes se sont montrés de plus en plus enclins à exploiter des attaques destructrices et perturbatrices. En fait, de telles attaques notamment contre des médias par des acteurs russes ont été constatées depuis près d’une décennie, par exemple en France lors des événements TV5 Monde. »

« L’outil apparaît avoir été conçu pour se propager au sein d’un réseau informatique spécifique afin de déstabiliser et perturber des systèmes en supprimant des informations de restauration et des configurations de boot. Pour les systèmes affectés il sera alors impossible de « bootrer » que ce soit lors d’un redémarrage volontaire ou lors d’un redémarrage forcé suite à une anomalie. Bien que le code utilisé détruise des données de sauvegarde et modifie la configuration du système, comme indiqué précédemment, il ne détruit pas des données résidant dans le système de la même manière que des familles de ransomwares précédemment observées ou des outils destructifs tels que KillDisk ou Shamoon. »

 

Source : GNT, ZDNet

2 Commentaires

Les commentaires sont fermés.