Attribution des cyberattaques : les JO d'hiver marquent la fin d'une époque

Il ne faudra plus compter l’examen des échantillons de code malicieux laissés derrière eux par les attaquants pour attribuer une opération à un groupe ou un autre, et encore moins à un état. C’est en substance le message qu’a essayé de faire passer Costin Raiu, de Kaspersky, cette semaine, à l’occasion du Security Analysts Summit de l’éditeur. C’est la conséquence d’un phénomène et de la réaction qu’il induit.

Ainsi, Costin Raiu explique que l’éditeur est désormais capable d’automatiser au moins en partie tout le travail d’analyse utilisé dans le processus d’attribution, pour réduire à quelques minutes le temps nécessaire à des opérations qui pouvaient prendre des mois, jusque-là. Selon lui, la technologie sous-jacente devrait être massivement exploitée d’ici à quelques années.

Mais sans surprise, les attaquants ne sont pas en reste. Et il faut s’attendre à ce qu’ils cherchent de plus en plus subtilement et méticuleusement à brouiller les pistes, que ce soit en copiant d’autres groupes ou en multipliant la réutilisation de code par ailleurs disponible.

Attackers start using more open-source tools and this will be the end of attribution as we know it - @craiu at #TheSAS2018 pic.twitter.com/tA8gsnbKet

— Stefan Tanase at #TheSAS2018 (@stefant) March 8, 2018

En fait, l’opération Olympic Destroyer, qui a visé à perturber le déroulement et la retransmission de la cérémonie d’ouverture des Jeux Olympiques d’hiver, apparaît illustrer parfaitement cette tendance et marquer la fin d’une époque.

De fait, Paul Rascagnères et Martin Leee, deux analystes des équipes Talos de Cisco, estimaient récemment, après examen approfondi des échantillons connus de code malveillant utilisé pour cette opération, que « l’attribution basée sur de seuls échantillons de maliciels est devenue très difficile ». Et cela vaut notamment parce qu’il « faut s’attendre à du partage de code en acteurs malveillants », mais aussi à l’intégration « d’indices conçus pour leurrer les analystes, pour pousser à l’attribution de leurs attaques à d’autres groupes ».

Aujourd’hui, les équipes de Kaspersky ne peuvent que souligner les multiples pièges tendus par les attaquants à l’intention des analystes avec Olympic Destroyer. Elles estiment que cette campagne « orchestrée avec soin a joué un rôle important et va affecter l’avenir de la recherche sur les attaques avancées persistantes ». Pour eux, cette opération menace « le processus d’attribution, sapant la confiance dans les résultats de recherches de renseignement ».

Car il y a un élément particulièrement troublant : les attaquants disposaient de droits d’administration sur les réseaux compromis. Dès lors, ils auraient pu « effacer les sauvegardes et détruire toutes les données locales », jusqu’à « dévaster l’infrastructure olympique ». Mais à la place, ils se sont contentés de « dégâts légers ». Ce sont les équipes d’Atos qui ont dû apprécier cette mansuétude, même si cela ne plaide en faveur de leurs efforts de protection…