Olympic Destroyer : qui a piraté les Jeux Olympiques ?

Les experts de Kaspersky Lab ont étudié les preuves numériques du piratage qui a visé les Jeux Olympiques 2018 pour trouver le véritable agresseur.

Autrefois, les pays participants suspendaient les guerres et mettaient de côté les désaccords politiques pendant les Jeux Olympiques. Il semblerait que de nos jours ce soit plutôt le contraire. Les Jeux Olympiques d’Hiver de PyeongChang ont débuté avec un scandale : des pirates informatiques inconnus ont attaqué les serveurs juste avant la cérémonie d’ouverture et de nombreux spectateurs n’ont pas pu y assister parce qu’ils ne pouvaient pas imprimer leurs entrées.

À cause de cette attaque, le malware baptisé Olympic Destroyer a rendu le site officiel des JO et la connexion wifi du stade inutilisables, et a également affecté les retransmissions de l’événement. Le Comité d’organisation a garanti qu’il n’y avait pas eu de graves conséquences, mais la confusion était sérieuse. Il serait très intéressant de découvrir ce qui s’est réellement passé et qui était derrière cette attaque.

Comment fonctionne Olympic Destroyer ?

Si l’on considère son mécanisme de propagation, Olympic Destroyer est un ver réseau. Nos experts ont trouvé au moins trois plateformes qui étaient infectées à l’origine et qui ont ensuite été utilisées pour propager le ver : les pirates ont inclus pyeongchang2018.com, les serveurs de réseau des stations de ski et les serveurs d’Atos, le prestataire informatique.

Une fois dans les plateformes, le ver s’est propagé automatiquement dans le réseau à travers les partages réseaux Windows. Pendant son passage, il a volé des mots de passe sauvegardés sur les ordinateurs infectés, les a gardés dans son système et les a utilisés pour la propagation qui a suivi. L’objectif final d’Olympic Destroyer était d’éliminer les fichiers des lecteurs réseau que le ver pouvait attendre et couper les systèmes qu’il avait infecté.

Qui a gâché la fête?

Les journalistes et les blogueurs ont répandu des rumeurs sur la personne qui essayait de perturber la cérémonie d’ouverture des Jeux Olympiques et sur ses raisons. La Corée du Nord était déjà suspectée même avant le début des JO. Les nord-coréens ont prétendument espionné les ordinateurs du Comité d’organisation

Ensuite, les soupçons se sont naturellement tournés vers les russes ; après tout, seuls quelques membres de la sélection russe avaient été choisis pour participer, ils étaient soumis à des restrictions sévères et le drapeau national avait été banni. Cependant, les enquêteurs ont détecté des similarités entre Olympic Destroyer et le malware créé par les cybercriminels chinois. Les soupçons se sont tournés vers la Chine.

Kaspersky Lab a enquêté

Pendant que le public émettait des hypothèses, les experts en cybersécurité ont continué à chercher des preuves. Kaspersky Lab a mené sa propre enquête.

Au premier abord, nos experts, comme bien d’autres, ont d’abord suspecté les cybercriminels nord-coréens, et plus spécifiquement le groupe Lazarus. Après avoir analysé un échantillon d’Olympic Destroyer, les enquêteurs ont trouvé une série d’empreintes numériques qui désignaient directement Lazarus comme l’auteur des faits.

Cependant, comme nos experts ont creusé plus profond, ils ont trouvé de plus en plus de différences. Après avoir effectué une nouvelle évaluation approfondie de toutes les preuves trouvées et une étude détaillée du code, ils se sont rendus compte que ce qui semblait être une preuve concluante était en fait une habile imitation ; ce que nous appelons une fausse bannière.

Par ailleurs, lorsque nos experts ont analysé Olympic Destroyer, ils ont découvert certaines preuves qui accusaient un auteur complètement différent : le groupe des pirates informatiques russes Sofacy (aussi appelé APT28 et Fancy Bear). Cependant, nous ne pouvons pas exclure la possibilité que cette preuve soit également fausse. Vous n’êtes jamais sûrs à 100 % lorsqu’il s’agit du cyberespionnage de haut niveau.

Conseils