Les auteurs d’Olympic Destroyer poursuivent leurs activités au-delà des JO d’hiver
Les créateurs du maliciel utilisé pour perturber la cérémonie d’ouverture des Jeux Olympiques de Pyeongchang semblent avoir tourné leur attention vers des organisations financières en Russie, mais également des laboratoires de prévention des menaces chimiques et biologiques en Europe et en Ukraine.
Qui se cache derrière Olympic Destroyer, ce logiciel malveillant aux capacités destructrices qui a été utilisé pour perturber la cérémonie d’ouverture des Jeux Olympiques d’hiver ? Les chercheurs de Kaspersky semblent pencher en faveur du groupe Sofacy, aussi connu comme APT28, Fancy Bear, Sednit, ou encore Pawn Storm. Ce qui impliquerait la Russie, comme l’évoquait le renseignement américain fin février. Mais les experts de l’éditeur restent d’une grande prudence.
Dans une nouvelle étude sur ceux qu’ils soupçonnent d’être à l’origine d’Olympic Destroyer, les chercheurs de Kaspersky indiquent que « certaines techniques, tactiques et procédures » rappellent celles de Sofacy. Pour autant, ils n’accordent qu’une confiance « basse à modérée » à la réalité du lien. Et il y a une raison à cela.
Comme ceci a pu être relevé à plusieurs reprises, « l’histoire d’Olympic Destroyer est différente de celles d’autres acteurs malicieux en cela que toute l’attaque était une opération de maître de duperie ». Le maliciel a ainsi été créé de sorte à faire porter le chapeau au groupe Lazarus, soupçonné d’être lié au régime de Pyongyang. C’est bien simple : « Olympic Destroyer peut être considéré comme un maître dans l’utilisation des faux pavillons ».
Quoiqu’il en soit, les auteurs d’Olympic Destroyer ont laissé des marqueurs qui leur sont spécifiques à partir desquels les analystes de Kaspersky ont cherché à les retrouver. Avec succès, semble-t-il à ce stade : le groupe à l’origine du maliciel apparaît toujours bien actif.
L’éditeur russe indique ainsi avoir découvert, entre mai et juin, « des documents de hameçonnage ciblé ressemblant étroitement à ceux utilisés dans le cadre de l’opération Olympic Destroyer. Ceci, et d’autres techniques, tactiques et procédures, nous ont conduits à penser que nous observions à nouveau le même acteur ». Au programme, on trouve là une combinaison « de code VBA, Powershell, Microsoft HTA [HTML Application, NDLR], avec du Javascript encapsulé, et encore du Powershell ». Le tout largement maquillé et utilisant des serveurs Joomla compromis en guise d’infrastructure de commande et de contrôle.
Selon les éléments récoltés par les équipes de Kaspersky, ceux qu’ils soupçonnent d’avoir initialement lancé l’opération Olympic Destroyer auraient visé des institutions financières en Russie, ainsi que des organisations de prévention des menaces chimiques et biologiques en Allemagne, en France, en Suisse, aux Pays-Bas et en Ukraine.