Les Jeux Olympiques d'hiver affectés par une attaque informatique

Les opérations critiques n'ont pas été touchées, mais les organisateurs de l'événement sportif à Pyeongchang ont dû couper serveurs et site Web officiel pour prévenir des dégâts plus importants.

Le Comité international olympique (CIO) vient d’indiquer que les Jeux Olympiques d’hiver, qui se déroulent actuellement à Pyeongchang en Corée du Sud, ont été victimes d’une attaque informatique ce vendredi 9 février. Les organisateurs ont notamment dû arrêter des serveurs et fermer le site Web officiel de l’événement pour prévenir des dégâts supplémentaires.

Le CIO s’est toutefois refusé à s’étendre sur le sujet. Lors d’un point presse, son porte-parole, Mark Adams, a ainsi indiqué, selon nos confrères de Reuters : « nous ne commentons pas cet incident. Nous le traitons. Nous nous assurons que nos systèmes sont sûrs, et ils le sont ».

Dans la pratique, l’incident a conduit à l’interruption de la connexion à Internet par Wi-Fi dans le stade, durant la cérémonie d’ouverture, coupant au passage des couvertures exploitant cette connectivité. Des drones, qui auraient être déployés pour filmer n’ont pas pu l’être.

En soi, l’incident n’est qu’une demi-surprise. Début janvier, McAfee alertait sur des documents malicieux visant les organisations impliquées dans l’organisation des Jeux Olympiques. Selon l’éditeur, la campagne avait commencé le 22 décembre dernier. Le document Word utilisé dans ce cadre cachait une macro Visual Basic chargée de lancer l’exécution d’un script PowerShell. Celui-ci téléchargeait une image conçue elle-même pour cacher un autre script PowerShell.

Le 2 février, McAfee s’est penché sur de nouveaux implants utilisés dans le cadre de cette campagne, pour assurer aux attaquants persistance, capacités d’extraction de données, et encore contrôle à distance.

Mais ces implants apparaissent très éloignés des échantillons étudiés par Warren Mercer et Paul Rascagneres, des équipes Talos de Cisco, et dont ils estiment, avec « une confiance modérée » qu’ils ont été utilisés dans le cadre de l’attaque qui a affecté la cérémonie d’ouverture des Jeux Olympiques.

Pour les deux experts, ces échantillons sont l’œuvre d’adversaires qui veulent « perturber les jeux » car ils ne « réalisent qu’une fonction destructrice ». Ils s’appuient sur des mécanismes légitimes de Windows, comme le très puissant PsExec, pour passer inaperçus et se propager sur le réseau, à l’instar d’un « BadRabbit et de Nyetya », soulignent les chercheurs de Talos.

Baptisé « Olympic Destroyer » par les experts, le maliciel dépose un module de vol d’identifiants au sein d’Internet Explorer, Firefox et Chrome, ainsi qu’un autre s’attaquant au processus Lsass « avec une technique similaire à celle utilisée par Mimikatz ».

Pour son volet destructeur, le logiciel malveillant commence par effacer tous les points de sauvegarde système. De quoi s’assurer « la restauration des fichiers n’aura rien de trivial ». Après cela, vient l’altération des données de configuration de démarrage « pour s’assurer que la console de restauration de Windows ne cherche pas à réparer quoi que ce soit sur l’hôte ». S’en suit l’effacement des traces dans les journaux de Windows.

Warren Mercer et Paul Rascagneres, « effacer toutes les méthodes disponibles de restauration montre que cet attaquant n’avait aucune intention de laisser la machine utilisable ». Selon eux, l’objectif de l’attaque est là « clairement » de perturber l’organisation de la cérémonie d’ouverture des Jeux Olympiques d’hiver pour provoquer « l’embarras » du CIO.

Surtout, ils relèvent que des identifiants ont été codés en dur dans le maliciel. Dès lors, précisent-ils, « il est possible que l’infrastructure Olympique ait été déjà compromise antérieurement pour permettre l’exfiltration de ces identifiants ». Le vecteur d’infection initial n’a pas été identifié.

De son côté, Intezer fait état de liens entre différents échantillons et des éléments de code utilisés par les groupes APT3, APT10, et APT12, des groupes supposés liés à la Chine. Mais il souligne que « l’attribution ne peut pas être déterminée seulement en analysant les similarités de code » et se garde bien de toute « affirmation définitive ».

Robert M. Lee, fondateur et CEO de Dragos, notamment, ne manque pas d’appeler à la plus grande réserve quant à toute tentation d’attribution.

Avec nos confrères de ComputerWeekly (groupe TechTarget).

PRO+

Contenu premium

Accéder à plus de contenu PRO+ ainsi qu'à d'autres offres réservées aux membres.

Approfondir

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

En soumettant ces informations à LeMagIT.fr, vous acceptez de recevoir des emails de TechTarget et ses partenaires. Si vous résidez hors des Etats-Unis, vous consentez à ce que vos données personnelles soient transférées et traitées aux Etats-Unis. Politique de confidentialité

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close