kentoh - Fotolia
Cyberattaque aux JO d’hiver : une attribution plus politique que technique (une fois encore)
Le renseignement américain attribuerait l'opération Olympic Destroyer à la Russie. Mais les équipes Talos de Cisco appellent à la prudence. Et CrowdStrike souligne que les lignes se brouillent entre acteurs indépendants et relevant d'États.
Selon nos confrères du Washington Post, les services américains du renseignement estiment aujourd’hui que la Russie est à l’origine de l’attaque qui a visé à perturber le déroulement et la retransmission de la cérémonie d’ouverture des Jeux Olympiques d’hiver ; ses pirates auraient cherché à brouiller les pistes en utilisant des adresses IP en Corée du Nord.
Ironie du calendrier, Paul Rascagnères et Martin Lee, des équipes Talos de Cisco, viennent de se pencher sur les suspects pouvant paraître les plus évidents à partir de l’analyse du code du maliciel utilisé pour l’opération. Ils sont au nombre de quatre : le groupe Lazarus, les groupes APT3 et APT10, et les auteurs de NotPetya/Nyetya. La sélection est faite notamment sur la base de similarités dans les techniques et tactiques utilisées, ainsi que dans les échantillons de logiciels malveillants.
Mais voilà, pour les deux chercheurs, en l’état, les indices ne sont pas concluants. Surtout, ils estiment que « l’attribution basée sur de seuls échantillons de maliciels est devenue très difficile ». Et cela vaut notamment parce qu’il « faut s’attendre à du partage de code en acteurs malveillants », mais aussi à l’intégration « d’indices conçus pour leurrer les analystes, pour pousser à l’attribution de leurs attaques à d’autres groupes ».
Et les choses ne devraient pas aller en se simplifiant. D’abord, parce que l’enjeu est important : « à cette époque des fake news, l’attribution est une question très sensible » et chaque erreur en la matière « donnent aux adversaires quelque chose derrière quoi se cacher ». Dès lors, pour les chercheurs, « il est probable que nous verrons des acteurs malicieux adopter plus avant des ruses afin de compliquer l’attribution et de brouiller les pistes ».
C’est en substance un message comparable qu’envoie Crowdstrike dans son tout dernier rapport sur les menaces. Car pour lui, les cyber-délinquants empruntent de plus en plus aux attaquants liés à des États-nations, et vice-versa.
Faisant notamment référence aux épisodes WannaCry, NotPetya ou encore Bad Rabbit, l’éditeur estime que des attaques majeures de 2017 « ont introduit la possibilité que le ransomware soit utilisé à des fins géopolitiques, voire militaires. Il est possible que cette tendance de rançongiciel d’Etat ait culminé, mais il est encore plus probable que d’autres nations – peut-être des pays plus petits – ou même des groupes de hacktivistes utilisent ransomware et pseudo-ransomware effaceur pour perturber leurs victimes, éroder la confiance entre opérateurs critiques et leurs clients, ou encore entre gouvernements et leurs circonscriptions ».
Pour approfondir sur Cyberdéfense
-
Ransomware : quand il cache autre chose que la cyber-extorsion
-
Mandiant fait passer Sandworm au niveau APT44 en raison de l’augmentation de la menace
-
NotPetya : l’assureur ne peut pas invoquer l’exclusion pour acte de guerre
-
Pour Ivan Kwiatkowski, Kaspersky, le ransomware étatique reste un épiphénomène