vendredi 14 août 2020
Promotion Meilleur VPN 2020
Accueil Malwares Olympique Destroyer : Le malware qui a été conçu pour tromper la...

Olympique Destroyer : Le malware qui a été conçu pour tromper la communauté de la cybersécurité

L’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a publié les résultats de ses propres recherches sur les attaques du malware Olympic Destroyer, apportant les preuves techniques d’un « false flag » très élaboré placé à l’intérieur du ver par son créateur afin de masquer la véritable origine de la menace.

Le ver Olympic Destroyer a fait quelques gros titres des journaux durant les Jeux olympiques d’hiver de Pyeongchang. Une cyberattaque a temporairement paralysé des systèmes informatiques avant la cérémonie d’ouverture, éteignant des écrans, coupant le Wi-Fi et bloquant le site web des Jeux de sorte que des visiteurs ne pouvaient plus imprimer leurs tickets. Kaspersky Lab a également découvert que plusieurs stations de ski en Corée du Sud ont été victimes de ce ver informatique, qui interrompait le fonctionnement des tourniquets et des remontées mécaniques. Bien que l’impact réel de ces attaques ait été limité, le malware aurait clairement pu avoir des effets dévastateurs, ce qui n’a heureusement pas été le cas.

Néanmoins, le véritable intérêt pour le secteur de la cybersécurité ne réside pas dans le potentiel destructeur ni même dans les dommages réels causés par les attaques d’Olympic Destroyer mais plutôt dans l’origine du malware. Il est probable qu’aucun autre malware avancé n’ait auparavant été attribué à autant d’auteurs potentiels. Dans les jours qui ont suivi sa découverte, des équipes de recherche du monde entier avaient réussi à l’attribuer, tantôt à la Russie, tantôt à la Chine, ou encore à la Corée du Nord, selon un certain nombre de caractéristiques précédemment associées à des auteurs d’activités de cyberespionnage et de sabotage qui seraient basés dans ces pays ou travailleraient pour leurs gouvernements.

Les chercheurs de Kaspersky Lab se sont eux aussi efforcés de déterminer quel groupe de pirates se cachait derrière ce malware. Au cours de leurs recherches, un indice est apparu et paraissant relier le malware à Lazarus, un groupe tristement connu pour ses liens avec la Corée du Nord.

Cette conclusion s’appuie sur une trace distinctive laissée par les auteurs des attaques. Une combinaison de certains caractéristiques de l’environnement de développement, présentes dans les fichiers, pouvant servir d’« empreinte digitale », et permettant dans certains cas d’identifier les auteurs d’un malware et leurs projets. Dans l’échantillon analysé par Kaspersky Lab, cette empreinte présentait une correspondance à 100 % avec des éléments déjà connus d’un malware signé Lazarus mais aucun point commun avec d’autres fichiers, propres ou malveillants, déjà connus par Kaspersky Lab à ce jour. En conjonction avec d’autres similitudes dans les tactiques, techniques et procédures (TTP), cela a conduit les chercheurs à conclure dans un premier temps qu’Olympic Destroyer était une nouvelle opération de Lazarus.

Cependant, les motifs et autres incohérences avec les TTP de Lazarus, découverts au cours de l’enquête menée sur site par Kaspersky Lab, ainsi que les installations ciblées en Corée du Sud, ont incité les chercheurs à y regarder de plus près.

Après un nouvel examen minutieux des éléments et une vérification manuelle de chaque caractéristique, les chercheurs ont découvert que l’ensemble ne cadrait pas avec le code : tout avait été contrefait afin d’imiter à la perfection la signature de Lazarus.

Les chercheurs en ont donc déduit que l’« empreinte digitale » était en fait un «  false flag » très élaboré, placé intentionnellement à l’intérieur du malware afin de faire croire aux enquêteurs qu’ils avaient trouvé une preuve flagrante et de les aiguiller ainsi sur une fausse piste.

« A notre connaissance, les éléments que nous avons pu découvrir n’avaient encore jamais été utilisés pour une attribution. Pourtant les auteurs des attaques ont décidé de s’en servir, prévoyant que quelqu’un les trouverait. Ils ont tablé sur le fait que ce type de contrefaçon est très difficile à prouver. C’est comme si un criminel s’était approprié l’ADN d’une autre personne et l’avait laissé sur le lieu du crime en lieu et place du sien. Nous avons établi que l’ADN découvert sur la scène de crime y avait été déposé volontairement. Tout cela démontre la quantité d’efforts que les auteurs des attaques sont prêts à déployer pour dissimuler leur identité le plus longtemps possible. Nous avons toujours souligné que l’attribution des activités malveillantes dans le cyberespace est très complexe car de nombreux éléments peuvent être contrefaits, et Olympic Destroyer en apporte très précisément l’illustration », commente Vitaly Kamluk, responsable de l’équipe de recherche de Kaspersky Lab en Asie-Pacifique.

Il ajoute : « Un autre enseignement de cet épisode pour nous est que l’attribution doit être prise extrêmement au sérieux. Compte tenu du degré de politisation du cyberespace ces derniers temps, une attribution erronée risquerait d’avoir de lourdes conséquences et les protagonistes pourrait commencer à manipuler les opinions au sein de la communauté de la sécurité afin d’influer sur les événements géopolitiques. »

L’attribution précise d’Olympic Destroyer demeure donc une question ouverte, tout simplement parce qu’il s’agit du premier exemple d’utilisation de ce « false flag » très élaboré. Cependant, les chercheurs de Kaspersky Lab ont découvert que les auteurs des attaques faisaient appel au service de réseau privé virtuel NordVPN et à un hébergeur nommé MonoVM, qui acceptent tous deux les paiements en bitcoins. Cette observation ainsi que d’autres rappellent les pratiques de l’acteur malveillant russophone Sofacy.

Pour en savoir plus au sujet de l’enquête des chercheurs de Kaspersky Lab sur les attaques d’Olympic Destroyer en Corée du Sud et en Europe, consultez le blog Securelist.com.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.