Victoria - Fotolia
#NotPetya : la cyberattaque de trop contre l’Ukraine ?
Le vrai-faux rançonigiciel qui s’est répandu rapidement la semaine dernière continue d’attirer la curiosité. Mais il contribue également à alimenter les tensions géopolitiques.
Pour John Watters, patron des activités de renseignement sur les menaces de FireEye, l’opération NotPetya, ExPeter, ou EternalPetya comme certains ont commencé à l’appeler, pointe vers la Russie, avec « une confiance raisonnable ».
En fin de semaine dernière, les services de sécurité intérieure ukrainien ont appelé en renfort le FBI, Europol et autres « institutions de cybersécurité de renom », qualifiant l’attaque de « cyberterrorisme ». Le ministre local de l’Intérieur, Anton Gerashchenko, l’a de son côté décrite comme faisant « partie de la stratégie globale de guerre hybride de la Russie contre l’Ukraine ». Et Jens Stoltenberg, secrétaire général de l’Otan, a tenu à rappeler, selon nos confrères du Telegraph, qu’une attaque cyber contre l’un des membres de l’alliance pourrait déclencher l’article 5 du traité. Ce dernier dispose qu’une attaque armée contre l’un des membres de l’alliance, en Europe ou en Amérique du Nord, serait considérée comme les visant tous. Et de les rendre solidaires des éventuelles actions en légitime défense qu’envisagerait alors la victime.
Déjà, la semaine dernière, Matthieu Suiche, de Comae Technologies, estimait que celui qui avait initialement l’air d’un ransomware n’était qu’un « leurre » conçu pour « attirer l’attention sur quelque mystérieux groupe de pirates plutôt que sur un attaquant de type état-nation ». Nicholas Weaver, de l’université de Berkeley, estimait un peu plus tôt que NotPetya constituait une attaque conduite délibérément contre l’Ukraine, sous le seul « déguisement » du ransomware. Rodney Joffe, vice-président sénior de Neustar, estime quant à lui que les attaquants semblent avoir visé « l’Ukraine, son économie et ses citoyens ».
Un pays sévèrement visé
Et il faut dire que le pays n’apparaît pas ménagé. On se souvient bien sûr des attaques répétées contre ses infrastructures électriques. Mais il faut aussi compter avec le rançongiciel XData qui a sévi en Ukraine au mois de mai. Les infrastructures de l’éditeur du logiciel comptable MeDoc avaient déjà été compromises pour le propager. Et à cela, il convient également d’ajouter PSCrypt, un ransomware apparu il y a un peu plus d’une semaine qui affecte essentiellement… l’Ukraine.
Okay everyone, let me tell a crazy thing:
— MalwareHunterTeam (@malwrhunterteam) June 29, 2017
A .NET WannaCry clone targeted Ukraine in past days.
And seems some victims already paid...
😲😲😲
Et si cela ne suffisait pas, MalwareHunterTeam a découvert un autre rançongiciel, clone de WannaCry cette fois-ci, se propageant en Ukraine depuis le 26 juin, et apparemment aussi via les serveurs de MeDoc. Avec une originalité : « il vérifie si le fichier qu’il veut chiffrer est en cours d’utilisation et, si oui, arrête le processus qui l’utilise ». L’énergéticien Ukrenergo a nié avoir été affecté, contrairement à ce que certains de nos confrères ont rapporté.
Plusieurs aspects techniques de NotPetya s’avèrent par ailleurs particulièrement troublants. Chez F-Secure, Andy Patel souligne ainsi que si certains composants du logiciel malveillant « sont d’assez mauvaise qualité et semblent juste apposés » les uns aux autres, sans véritable intégration, un autre, celui qui permet la propagation sur le réseau local, « apparaît très sophistiqué et bien testé ». Selon lui, ce module « était probablement déjà en développement en février ».
Des attaquants compétents
Mais attention : il n’y a pas là de quoi conclure que les auteurs d’ExPetr ont eu accès à EternalBlue et EternalRomance avant qu’ils ne soient rendus publics par Shadow Brokers, car ils ont été intégrés « au code de la principale DLL dont le marqueur chronologique est du mois de juin ».
Alors, pour Andy Patel, les auteurs du logiciel malveillant ont « dû soudainement ajuster leur deadline » et précipiter sa distribution. C’est d’ailleurs ce qui conduit l’expert de F-Secure – et l’un de ses collègues – à mettre en doute l’idée selon laquelle NotPetya ne serait pas un rançongiciel.
Quoiqu’il en soit, selon Patel, les auteurs de ce logiciel malveillant avaient une sévère dent contre Kaspersky : « s’il trouve des processus [de l’éditeur] s’exécutant sur le système, il écrit n’importe quoi sur les 10 premiers secteurs du disque puis redémarre, rendant la machine complètement inutilisable ».
Précipitation, réutilisation de code existant… il serait possible de penser que les auteurs d’ExPetr sont des amateurs. Mais non, disent en cœur les experts de F-Secure et Malwarebytes. Et ces derniers de relever que la réutilisation du code de Petya a ici « été bien réalisée par une personne ou une équipe avec de bonnes connaissances techniques et une approche méticuleuse ». Mais qui ?
La piste de TeleBots/BlackEnergy
Eset évoque la piste du groupe TeleBots. L’éditeur s’était penché sur ce groupe au mois de décembre dernier. CyberX en avait fait de même, étudiant une nouvelle variante du logiciel destructeur KillDisk, transformé pour l’occasion en ransomware. Le gang TeleBots serait une spin-off du groupe Sandworm auquel est attribué le logiciel malveillant BlackEnergy. Début janvier 2016, Eset avait alerté sur la reprise d’activité de ce logiciel, en Ukraine, où il était alors notamment utilisé pour provoquer des pannes d’électricité. Il a en particulier été mis à contribution pour effacer certains systèmes compromis dans le cadre d’une attaque ayant conduit à une vaste coupure d’électricité dans la région d’Ivano-Frankivsk fin 2015.
Aujourd’hui, Eset estime avoir trouvé des liens entre TeleBots et les logiciels malveillants qui touchent actuellement l’Ukraine, NotPetya d’une part, mais également XData. Dans le cas du premier, il relève notamment que les extensions de fichiers visés par les opérations de chiffrement sont « très similaires » à celles retenues par les auteurs de KillDisk. Sans oublier bien sûr le vecteur initial, MeDoc.
Kaspersky relève également de nombreux éléments pointant dans cette direction. Mais il s’avère moins affirmatif, estimant que les indices observés « ne devraient pas être considérés comme le signe d’un lien définitif », jusqu’à faire état d’une « intention au niveau de confiance faible, mais persistante ».