False flag olympique : Olympic Destroyer a été conçu pour tromper la communauté de la cybersécurité

Posted On 08 Mar 2018

Les attaques du malware Olympic Destroyer faites de manière à piéger les chercheurs en cybersécurité. Les preuves techniques d’un « false flag » très élaboré placé à l’intérieur du ver par son créateur afin de masquer la véritable origine de la menace.

Le ver Olympic Destroyer a fait quelques gros titres des journaux durant les Jeux olympiques d’hiver de Pyeongchang. Une cyberattaque a temporairement paralysé des systèmes informatiques avant la cérémonie d’ouverture, éteignant des écrans, coupant le Wi-Fi et bloquant le site web des Jeux de sorte que des visiteurs ne pouvaient plus imprimer leurs tickets. Kaspersky Lab a également découvert que plusieurs stations de ski en Corée du Sud ont été victimes de ce ver informatique, qui interrompait le fonctionnement des tourniquets et des remontées mécaniques. Bien que l’impact réel de ces attaques soit limité, le malware aurait clairement pu avoir des effets dévastateurs.

Néanmoins, le véritable intérêt pour le secteur de la cybersécurité ne réside pas dans le potentiel destructeur ni même dans les dommages réels causés par les attaques d’Olympic Destroyer mais plutôt dans l’origine du malware. Dans les jours qui ont suivi sa découverte, des équipes de recherche du monde entier avaient réussi à l’attribuer, tantôt à la Russie, tantôt à la Chine, ou encore à la Corée du Nord, selon un certain nombre de caractéristiques précédemment associées à des auteurs d’activités de cyberespionnage et de sabotage qui seraient basés dans ces pays ou travailleraient pour leurs gouvernements.

Les chercheurs de se sont eux aussi efforcés de déterminer quel groupe de pirates se cachait derrière ce malware. Au cours de leurs recherches, un indice est apparu et paraissant relier le malware à Lazarus, un groupe tristement connu pour ses liens avec la Corée du Nord.

La Corée du Nord, coupable facile

Cette conclusion s’appuie sur une trace distinctive laissée par les auteurs des attaques. Une combinaison de certains caractéristiques de l’environnement de développement, présentes dans les fichiers, pouvant servir d’« empreinte digitale ». Ils permettent dans certains cas d’identifier les auteurs d’un malware. Dans l’échantillon analysé, cette empreinte présentait une correspondance à 100 % avec des éléments déjà connus d’un malware signé Lazarus. Mais aucun point commun avec d’autres fichiers, propres ou malveillants, déjà connus. En conjonction avec d’autres similitudes dans les tactiques, techniques et procédures (TTP), cela a conduit les chercheurs à conclure dans un premier temps qu’Olympic Destroyer était une nouvelle opération de Lazarus.

Cependant, les motifs et autres incohérences avec les TTP de Lazarus, découverts au cours de l’enquête menée, ainsi que les installations ciblées en Corée du Sud, ont incité les chercheurs à y regarder de plus près.

Nouvel examen minutieux

Après un nouvel examen minutieux des éléments et une vérification manuelle de chaque caractéristique, les chercheurs ont découvert que l’ensemble ne cadrait pas avec le code : tout avait été contrefait afin d’imiter à la perfection la signature de Lazarus. Les chercheurs déduisent que l’« empreinte digitale », un « false flag » très élaboré, placé intentionnellement à l’intérieur du malware. Sa mission, faire croire aux enquêteurs qu’ils avaient trouvé une preuve flagrante. Les aiguiller ainsi sur une fausse piste.

« A notre connaissance, les éléments que nous avons pu découvrir n’avaient encore jamais été utilisés pour une attribution. Pourtant les auteurs des attaques ont décidé de s’en servir, prévoyant que quelqu’un les trouverait. Ils ont tablé sur le fait que ce type de contrefaçon est très difficile à prouver. C’est comme si un criminel s’était approprié l’ADN d’une autre personne. Il l’a laissé sur le lieu du crime en lieu et place du sien. Tout cela démontre les efforts que les auteurs des attaques sont prêts à déployer pour dissimuler actions. Nous avons toujours souligné que l’attribution des activités malveillantes dans le cyberespace est très complexe car de nombreux éléments peuvent être contrefaits, et Olympic Destroyer en apporte très précisément l’illustration », commente Vitaly Kamluk, responsable de l’équipe de recherche de Kaspersky Lab en Asie-Pacifique.

Une mauvaise attribution pourrait-elle déclencher une guerre ?

Compte tenu du degré de politisation du cyberespace ces derniers temps, une attribution erronée risquerait d’avoir de lourdes conséquences. Les protagonistes pourrait commencer à manipuler les opinions au sein de la communauté de la sécurité. Mission, influer sur les événements géopolitiques.

L’attribution précise d’Olympic Destroyer demeure donc une question ouverte. Il s’agit du premier exemple d’utilisation de ce « false flag » très élaboré. Les chercheurs ont découvert que les auteurs faisaient appel au service de réseau privé virtuel NordVPN. Ainsi qu’à un hébergeur nommé MonoVM. Deux « boutiques » qui acceptent les bitcoins. Cette observation, ainsi que d’autres, rappellent les pratiques du russe Sofacy.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.