Les Jeux Olympiques d'hiver affectés par une attaque informatique

Le Comité international olympique (CIO) vient d’indiquer que les Jeux Olympiques d’hiver, qui se déroulent actuellement à Pyeongchang en Corée du Sud, ont été victimes d’une attaque informatique ce vendredi 9 février. Les organisateurs ont notamment dû arrêter des serveurs et fermer le site Web officiel de l’événement pour prévenir des dégâts supplémentaires.

Le CIO s’est toutefois refusé à s’étendre sur le sujet. Lors d’un point presse, son porte-parole, Mark Adams, a ainsi indiqué, selon nos confrères de Reuters : « nous ne commentons pas cet incident. Nous le traitons. Nous nous assurons que nos systèmes sont sûrs, et ils le sont ».

Dans la pratique, l’incident a conduit à l’interruption de la connexion à Internet par Wi-Fi dans le stade, durant la cérémonie d’ouverture, coupant au passage des couvertures exploitant cette connectivité. Des drones, qui auraient être déployés pour filmer n’ont pas pu l’être.

En soi, l’incident n’est qu’une demi-surprise. Début janvier, McAfee alertait sur des documents malicieux visant les organisations impliquées dans l’organisation des Jeux Olympiques. Selon l’éditeur, la campagne avait commencé le 22 décembre dernier. Le document Word utilisé dans ce cadre cachait une macro Visual Basic chargée de lancer l’exécution d’un script PowerShell. Celui-ci téléchargeait une image conçue elle-même pour cacher un autre script PowerShell.

Le 2 février, McAfee s’est penché sur de nouveaux implants utilisés dans le cadre de cette campagne, pour assurer aux attaquants persistance, capacités d’extraction de données, et encore contrôle à distance.

Mais ces implants apparaissent très éloignés des échantillons étudiés par Warren Mercer et Paul Rascagneres, des équipes Talos de Cisco, et dont ils estiment, avec « une confiance modérée » qu’ils ont été utilisés dans le cadre de l’attaque qui a affecté la cérémonie d’ouverture des Jeux Olympiques.

Pour les deux experts, ces échantillons sont l’œuvre d’adversaires qui veulent « perturber les jeux » car ils ne « réalisent qu’une fonction destructrice ». Ils s’appuient sur des mécanismes légitimes de Windows, comme le très puissant PsExec, pour passer inaperçus et se propager sur le réseau, à l’instar d’un « BadRabbit et de Nyetya », soulignent les chercheurs de Talos.

Psexec is great as almost no AV detects it as malicious (and those that do get whitelisting as IT depts use it) = slip around network unnoticed. You can capture service creation events in Event Log - harvest into OMS or Splunk - review use against servers. https://t.co/F0bdIqRHHs

— Kevin Beaumont (@GossiTheDog) January 27, 2018

Baptisé « Olympic Destroyer » par les experts, le maliciel dépose un module de vol d’identifiants au sein d’Internet Explorer, Firefox et Chrome, ainsi qu’un autre s’attaquant au processus Lsass « avec une technique similaire à celle utilisée par Mimikatz ».

Pour son volet destructeur, le logiciel malveillant commence par effacer tous les points de sauvegarde système. De quoi s’assurer « la restauration des fichiers n’aura rien de trivial ». Après cela, vient l’altération des données de configuration de démarrage « pour s’assurer que la console de restauration de Windows ne cherche pas à réparer quoi que ce soit sur l’hôte ». S’en suit l’effacement des traces dans les journaux de Windows.

Warren Mercer et Paul Rascagneres, « effacer toutes les méthodes disponibles de restauration montre que cet attaquant n’avait aucune intention de laisser la machine utilisable ». Selon eux, l’objectif de l’attaque est là « clairement » de perturber l’organisation de la cérémonie d’ouverture des Jeux Olympiques d’hiver pour provoquer « l’embarras » du CIO.

They even hard coded in AD domain. Whoever attacker is knows what they are doing, they very likely already had access to network (if somebody knows your VPN service account, you've got problems), and they're good at targeting as it's written in a way which couldn't WannaCry/Petya

— Kevin Beaumont (@GossiTheDog) February 12, 2018

Surtout, ils relèvent que des identifiants ont été codés en dur dans le maliciel. Dès lors, précisent-ils, « il est possible que l’infrastructure Olympique ait été déjà compromise antérieurement pour permettre l’exfiltration de ces identifiants ». Le vecteur d’infection initial n’a pas été identifié.

De son côté, Intezer fait état de liens entre différents échantillons et des éléments de code utilisés par les groupes APT3, APT10, et APT12, des groupes supposés liés à la Chine. Mais il souligne que « l’attribution ne peut pas être déterminée seulement en analysant les similarités de code » et se garde bien de toute « affirmation définitive ».

Robert M. Lee, fondateur et CEO de Dragos, notamment, ne manque pas d’appeler à la plus grande réserve quant à toute tentation d’attribution.

Avec nos confrères de ComputerWeekly (groupe TechTarget).