Sony Pictures aurait été la cible d’un groupe très organisé

Ce sont 13 acteurs de l’industrie de la sécurité informatique qui ont décidé, fin 2014, de joindre leurs forces pour remonter la piste de ceux qui se sont attaqués à Sony Picture Entertainment, il y a maintenant un peu plus d’un an. Parmi les participants à cette initiative, baptisée opération Blockbuster, on trouve notamment AlienVault, Invincea, Kaspersky, Novetta, Symantec, ThreatConnect ou encore Volexity et Trend Micro.

Pour intéressants qu’ils soient, leurs travaux ne surprendront guère ceux qui ont suivi l’affaire : de fait, ils se basent essentiellement sur des informations déjà rendues publiques par le passé. Et cela commence par l’implication de Destover, un logiciel malveillant destructif, observé précédemment et présentant d’importantes ressemblances avec d’autres, dont DarkSeoul et Shamoon, utilisé contre le groupe pétrolier Saudi Aramco. Kasperky avait levé le voile sur Destover début décembre 2014, avant que le Cert US ne publie une alerte détaillant son comportement.

Mais en s’appuyant sur ces données, l’opération Blockbuster dresse un portrait du groupe auquel il apparaît désormais légitime d’attribuer l’attaque ayant visé le studio de cinéma, un groupe organisé, actif au moins depuis 2009, sinon 2007, et appelé Lazarus Group.

Dans son rapport, Novetta le décrit comme « disposant de ressources permettant le développement d’outils malveillants à façon, pour des attaques ciblées, coordonnées et étendues, intégrant de longues périodes de reconnaissance ». Utilisant notamment le hameçonnage ciblé pour compromettre ses cibles, le groupe apparaît avoir visé en particulier Taiwan, les Etats-Unis ou encore la Chine, s’intéressant à « de nombreux secteurs d’activité, dont le secteur public, le secteur militaire, les services financiers, les médias et les loisirs, ou encore les opérateurs d’infrastructures critiques ».

Les éléments synthétisés par Novetta écartent les thèses d’hacktivistes et de la malveillance interne, mais le portrait dressé du groupe Lazarus s’avère essentiellement technique et ne permet pas véritablement de faire avancer la question de l’attribution. La Corée du Nord avait été pointée à l’époque de l’attaque contre Sony Pictures Entertainment.

Toutefois, l’objectif de l’opération Blockbuster consiste surtout à apporter un éclairage sur les outils et les méthodes des attaquants, afin d’aider les entreprises à s’en protéger. Des signatures pour anti-virus ou système de détection d’intrusion (IDS) ont ainsi été développées et rendues publiques.

Novetta formule aussi de nombreuses recommandations, à commencer par l’utilisation de l’outil de protection de Microsoft EMET, la surveillance du trafic réseau, la ségrégation de réseaux, ou encore le contrôle fin des droits des utilisateurs sur leurs machines, selon des comptes, et l’authentification à facteurs multiples. Sans oublier la sensibilisation et la formation des utilisateurs à l’identification des tentatives de phishing.