Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    2 090
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 090
    Points : 67 320
    Points
    67 320
    Billets dans le blog
    2

    Par défaut Le malware utilisé dans l'attaque contre les JO de Pyeongchang a été conçu pour tromper la communauté

    Le malware utilisé dans l'attaque contre les JO de Pyeongchang a été conçu pour tromper la communauté de la cybersécurité
    d'après Kaspersky

    Dans un communiqué reçu aujourd'hui de Kaspersky, la firme de sécurité russe nous informe avoir publié les résultats de ses recherches sur les attaques du malware Olympic Destroyer qui a fait quelques gros titres des journaux durant les Jeux olympiques d’hiver de Pyeongchang. Ce logiciel malveillant a été à l'origine d'une cyberattaque qui a temporairement paralysé des systèmes informatiques avant la cérémonie d’ouverture des jeux, éteignant des écrans, coupant le Wi-Fi et bloquant le site web des Jeux de sorte que des visiteurs ne pouvaient plus imprimer leurs tickets.

    Dans les jours qui ont suivi sa découverte, des équipes de recherche du monde entier avaient réussi à l’attribuer, tantôt à la Russie, tantôt à la Chine, ou encore à la Corée du Nord, selon un certain nombre de caractéristiques précédemment associées à des auteurs d’activités de cyberespionnage et de sabotage qui seraient basés dans ces pays ou travailleraient pour leurs gouvernements. Il est probable qu’aucun autre malware avancé n’ait auparavant été attribué à autant d’auteurs potentiels.

    Les chercheurs de Kaspersky Lab se sont eux aussi efforcés de déterminer quel groupe de pirates se cachait derrière ce malware. Au cours de leurs recherches, un indice est apparu et paraissant relier le malware à Lazarus, un groupe tristement connu pour ses liens avec la Corée du Nord.

    Cette conclusion s’appuie sur une trace distinctive laissée par les auteurs des attaques. Une combinaison de certaines caractéristiques de l’environnement de développement présentes dans les fichiers, pouvant servir d’« empreinte digitale », et permettant dans certains cas d’identifier les auteurs d’un malware et leurs projets. Dans l’échantillon analysé par Kaspersky Lab, cette empreinte présentait une correspondance à 100 % avec des éléments déjà connus d’un malware signé Lazarus, mais aucun point commun avec d’autres fichiers, propres ou malveillants, déjà connus par Kaspersky Lab à ce jour. En conjonction avec d’autres similitudes dans les tactiques, techniques et procédures (TTP), cela a conduit les chercheurs à conclure dans un premier temps qu’Olympic Destroyer était une nouvelle opération de Lazarus.

    Cependant, les motifs et autres incohérences avec les TTP de Lazarus, découverts au cours de l’enquête menée sur site par Kaspersky Lab, ainsi que les installations ciblées en Corée du Sud, ont incité les chercheurs à y regarder de plus près. Après un nouvel examen minutieux des éléments et une vérification manuelle de chaque caractéristique, les chercheurs ont découvert que l’ensemble ne cadrait pas avec le code : tout avait été contrefait afin d’imiter à la perfection la signature de Lazarus.

    Les chercheurs en ont donc déduit que l’« empreinte digitale » était en fait un « false flag » très élaboré, placé intentionnellement à l’intérieur du malware afin de faire croire aux enquêteurs qu’ils avaient trouvé une preuve flagrante et de les aiguiller ainsi sur une fausse piste.


    « À notre connaissance, les éléments que nous avons pu découvrir n’avaient encore jamais été utilisés pour une attribution. Pourtant les auteurs des attaques ont décidé de s’en servir, prévoyant que quelqu’un les trouverait. Ils ont tablé sur le fait que ce type de contrefaçon est très difficile à prouver. C’est comme si un criminel s’était approprié l’ADN d’une autre personne et l’avait laissé sur le lieu du crime en lieu et place du sien. Nous avons établi que l’ADN découvert sur la scène de crime y avait été déposé volontairement. Tout cela démontre la quantité d’efforts que les auteurs des attaques sont prêts à déployer pour dissimuler leur identité le plus longtemps possible. Nous avons toujours souligné que l’attribution des activités malveillantes dans le cyberespace est très complexe, car de nombreux éléments peuvent être contrefaits, et Olympic Destroyer en apporte très précisément l’illustration », commente Vitaly Kamluk, responsable de l’équipe de recherche de Kaspersky Lab en Asie-Pacifique.

    « Un autre enseignement de cet épisode pour nous est que l’attribution doit être prise extrêmement au sérieux. Compte tenu du degré de politisation du cyberespace ces derniers temps, une attribution erronée risquerait d’avoir de lourdes conséquences et les protagonistes pourraient commencer à manipuler les opinions au sein de la communauté de la sécurité afin d’influer sur les événements géopolitiques, » a-t-il ajouté.

    L’attribution précise d’Olympic Destroyer demeure donc une question ouverte, tout simplement parce qu’il s’agit du premier exemple d’utilisation de ce « false flag » très élaboré. Cependant, les chercheurs de Kaspersky Lab ont découvert que les auteurs des attaques faisaient appel au service de réseau privé virtuel NordVPN et à un hébergeur nommé MonoVM, qui acceptent tous deux les paiements en bitcoins. Cette observation ainsi que d’autres rappellent les pratiques de l’acteur malveillant russophone Sofacy.

    En savoir plus sur l’enquête de Kaspersky Lab sur les attaques d’Olympic Destroyer

    Source : Communiqué de Kaspersky

    Et vous ?

    Qu’en pensez-vous ?
    Sur la base des recherches de Kaspersky, doit-on aujourd'hui se fier aux attributions des cyberattaques ?

    Voir aussi :

    Kaspersky : l'agent de la NSA aurait exposé les outils de piratage des USA en installant un générateur de clés malveillant pour activer MS Office
    Des pirates exploitent une faille dans l'application Telegram pour miner des monnaies cryptographiques et mener d'autres attaques, avertit Kaspersky
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti Avatar de Tartare2240
    Homme Profil pro
    Développeur Web
    Inscrit en
    mars 2016
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : mars 2016
    Messages : 76
    Points : 349
    Points
    349

    Par défaut

    Lazarus est affilié à la Corée du Nord si je ne m'abuse ? Effectivement, c'est un cas complexe. Et bien que le premier réflexe serait d'accuser le principal ennemi de la Corée du Nord (soit les USA), il y a beaucoup de prudence à prendre dans ce genre de dossier. Car cela pourrait aussi être un groupe totalement indépendant, se cachant derrière cette identité pour ne pas être repéré.

  3. #3
    Membre habitué Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    36
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 36
    Points : 150
    Points
    150

    Par défaut

    C'est la sempiternelle difficulté d'attribution. L'attribution est plus une affaire politique que technique. Maintenant que des APT d'origine étatique voient le jour, les techniques classiques du renseignement s'appliquent au monde cyber pour désinformer ou masquer l'origine et le plagiat est de mise.

    A chaque analyse de malware, les artefacts, modus operandi ou techniques peuvent être appris de précédents malwares. Le simple fait de faire accuser autrui peut être l'objectif d'un malware. L'attribution doit toujours être conditionnelle en l'absence de preuve formelle (ex: saisie de matériel) et ne peut, au mieux, qu'identifier un rattachement à une famille de malwares ou de modes opératoires. Ce n'est en fin de compte qu'une simple classification du malware plutôt qu'une identification de l'origine.

Discussions similaires

  1. Réponses: 85
    Dernier message: 28/09/2018, 11h33
  2. Réponses: 0
    Dernier message: 13/10/2016, 10h12
  3. Le Sénat de la Silicon Valley persiste dans sa lutte contre les pirates
    Par ASTICun dans le forum Forum général Solutions d'entreprise
    Réponses: 0
    Dernier message: 16/05/2014, 15h35
  4. Google se lance dans les services DNS : une attaque contre les FAI ?
    Par Gordon Fowler dans le forum Actualités
    Réponses: 43
    Dernier message: 19/05/2010, 10h39
  5. question idiote sur terme utilisé dans les offres
    Par coyott dans le forum Emploi
    Réponses: 4
    Dernier message: 24/08/2005, 18h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo