peshkova - Fotolia
#NotPetya : distribué en masse via une porte dérobée installée dans MeDoc
Selon les autorités locales, les attaquants ont compromis les infrastructures de l’éditeur pour diffuser des mises à jour modifiées par leurs soins. L’analyse d’Eset laisse entrevoir une opération très élaborée.
La diffusion du vrai-faux rançongiciel NotPetya, ExPetr, EnternalPetya ou encore Diskcoder.C, comme l’appelle désormais Eset, la semaine dernière, apparaît de plus en plus comme une attaque massive combinant sabotage et espionnage informatiques. Savamment préparée, elle semble avoir visé toutes les entreprises utilisant, en Ukraine, le logiciel comptable de l’éditeur MeDoc. Selon nos confrères de Reuters, MeDoc est utilisé par 80 % des entreprises en Ukraine, et compte environ 400 000 clients.
Dans un communiqué, la police locale reprend bon nombre d’informations déjà publiées par les experts en sécurité informatique, en les déclarant notamment « confirmées par les autorités de pays tiers ». Selon celles-ci, les attaquants auraient eu accès au code source du logiciel comptable et installé « une porte dérobée dans l’une de ses mises à jour ». Une fois installée, celle-ci donnait accès aux ordinateurs des utilisateurs de MeDoc. La mise à jour en question a « probablement été distribuée le 15 mai 2017 », estime la police.
En fait, selon Eset, trois mises à jour de MeDoc auraient été compromises : celles des 14 avril, 15 mai, et 22 juin derniers. L’éditeur aurait déjà été victime d’une importante brèche en 2015, et le code source de son logiciel comptable serait accessible en ligne depuis l’an dernier. Dans son communiqué, la police ukrainienne réitère ses accusations : pour elle, l’éditeur a ignoré des avertissements répétés et savait ses infrastructures vulnérables.
Des utilisateurs épargnés
De fait, si l’on en croit l’analyse chronologique d’Eset, les attaquants allaient et venaient à loisir sur les serveurs de l’éditeur de MeDoc : ceux-ci ont alternativement poussé des mises à jour saines et d’autres compromises entre avril et la fin juin : « quatre mises à jour entre le 24 avril et le 10 mai, et sept autres entre le 17 mai et le 21 juin » étaient saines.
Il y a là de quoi expliquer au passage que certains utilisateurs de MeDoc n’aient pas été affectés : la mise à jour du 15 mai contenait la porte dérobée, mais pas celle du 17 mai, « un événement inattendu pour les attaquants ». Lesquels ont poussé le rançongiciel XData le 18 mai, mais « la majorité des utilisateurs de MeDoc n’avait plus le module avec porte dérobée puisqu’ils avaient déjà installé la mise à jour » de la veille.
La porte dérobée était loin d’être inutile aux attaquants. Elle leur a permis de collecter un numéro d’identification unique, EDRPOU. Avec lui, « ils pouvaient identifier l’organisation [compromise] […] et utiliser des tactiques variées contre son réseau informatique, suivant leurs objectifs ». Et c’est peut-être l’autre mauvaise nouvelle pour les victimes.
Bien plus qu’une simple destruction ?
Car selon Eset, en plus des identifiants fiscaux des entreprises, « la porte dérobée collecte les réglages de courriel et de proxy, y compris les noms d’utilisateur et mots de passe ». Et selon l’éditeur, les attaquants avaient prévu des fonctionnalités étendues de prise de contrôle à distance, faisant de leur porte dérobée « une plateforme de cyberespionnage et de cybersabotage complète ».
Les informations collectées n’ont pas été transmises à des serveurs de commande et de contrôle conventionnels : elles ont été renvoyées aux serveurs de l’éditeur de MeDoc, en profitant des mécanismes de vérification périodique de mises à jour. Avec une nuance : les données subtilisées étaient envoyées « dans des cookies ».
Le tout semble étayer la thèse d’un groupe d’attaquants très organisé. D’autant plus que, selon Kaspersky, en parallèle à NotPetya, les pirates ont diffusé, toujours via les mises à jour de MeDoc, un autre rançongiciel, clone de WannaCry, et dit FakeCry. Pour l’éditeur, ce dernier « apparaît avoir été conçu dans l’idée d’un écran de fumée ». Eset attribue l’opération au groupe Telebots.
Reste à savoir ce qu’il est advenu des données exfiltrées. Les journaux d’activité des serveurs de l’éditeur de MeDoc pourraient receler des traces utiles pour répondre à cette interrogation. La police ukrainienne les a saisis pour enquêter. Et il est plus que recommandé aux entreprises affectées de surveiller attentivement leur infrastructure à la recherche d’activités suspectes, et changer leurs mots de passe…
Pas de petits profits
En attendant, les auteurs de NotPetya ont déplacé les quelques 10 000 $ qu’ils sont parvenus à collecter dans un nouveau portefeuille en bitcoins. Mais pas uniquement. Ils ont également souscrit à un compte Pastebin ainsi qu’à un clone de ce service accessible via Tor.
Here we go ! #NotPetya statement on DeepPaste https://t.co/JTk3V102QI pic.twitter.com/gN18uCppyB
— codelancer (@codelancer) July 4, 2017
Sur ce dernier, ils ont déposé une proposition : 100 bitcoins – plus de 250 000 $ actuellement – contre la clé privée qui doit permettre de « déchiffrer n’importe quel disque dur (à partir les disques de démarrage ».