in

Le malware Olympic Destroyer est de retour et vise les organismes de protection contre les menaces chimiques et biologiques en Europe

Les chercheurs de Kaspersky Lab chargés de traquer le malware Olympic Destroyer ont découvert que le groupe de hackers est toujours actif. Il s’était fait connaître en février dernier en paralysant l’ouverture des Jeux olympiques de PyeongChang grâce à l’injection d’un ver réseau destructeur. Ses actions semblent maintenant cibler l’Allemagne, la France, la Suisse, les Pays-Bas, l’Ukraine et la Russie, et tout particulièrement les organismes impliqués dans la protection contre les menaces chimiques et biologiques.  

En février 2018, le logiciel malveillant Olympic Destroyer a frappé les organisateurs, les fournisseurs et les partenaires des Jeux Olympiques d’hiver qui se sont déroulés à PyeongChang (Corée du Sud) par le biais d’une opération de cybersabotage utilisant un ver réseau particulièrement virulent. L’origine de l’attaque était incertaine car de nombreux indicateurs pointaient dans des directions différentes, provoquant une certaine confusion dans l’industrie de l’info-sécurité. Selon quelques signes rares et sophistiqués découverts par Kaspersky Lab, il a alors semblé que le groupe de hackers Lazarus lié à la Corée du Nord était derrière l’opération. Mais en mars, la société a confirmé que la campagne comportait un « false flag » très élaboré et convaincant, et qu’il était peu probable que Lazarus en soit la source.

Les chercheurs savent à présent que l’opération Olympic Destroyer est sur le point de faire son retour, que certains de ses outils d’infiltration et de reconnaissance originaux sont utilisés, et que ses actions sont concentrées sur des cibles européennes.

Le groupe responsable de la menace répand son logiciel malveillant par le biais de documents de spear-phishing qui ressemblent fort aux documents infectés utilisés lors de l’opération menée lors des Jeux olympiques d’hiver. L’un de ces leurres faisait référence à la « Spiez Convergence », une série d’ateliers consacrée aux menaces biochimiques et organisée en Suisse par le Laboratoire Spiez, dont le rôle dans l’enquête sur l’affaire de Salisbury a été déterminant. Un autre document visait une entité de l’autorité d’inspection sanitaire et vétérinaire de l’Ukraine. Certains des documents de phishing mis au jour par les chercheurs comportent des mots en langues russe et allemande.

Toutes les charges utiles (payload) finales qui ont été extraites des documents malveillants ont été conçues pour fournir un accès générique aux ordinateurs infectés. Un framework libre open-source, largement connu sous le nom de Powershell Empire, a été utilisé pour la deuxième étape de l’offensive.

Il semble que les attaquants utilisent des serveurs Web légitimes infectés pour héberger et piloter le logiciel malveillant. Ces serveurs utilisent Joomla, un système de gestion de contenus (CMS) disponible en open-source et très apprécié. Les chercheurs ont découvert que l’un des serveurs hébergeant la charge utile malveillante utilisait une version de Joomla publiée en novembre 2011 (v1.7.3), ce qui laisse entendre qu’une variante largement obsolète du CMS a pu être utilisée pour pirater les serveurs.

Sur la base des données télémétriques de Kaspersky Lab et des fichiers téléchargés vers des services multi-scanner, il semble que cette nouvelle campagne d’Olympic Destroyer cible des entités situées en Allemagne, en France, en Suisse, aux Pays-Bas, en Ukraine et en Russie.

« L’apparition en début d’année d’Olympic Destroyer, un malware extrêmement sophistiqué, a transformé à jamais le jeu des attributions et montré combien il est facile de commettre une erreur en utilisant uniquement les fragments d’image que les chercheurs peuvent visualiser. L’analyse et la dissuasion de ces menaces doivent s’appuyer sur la coopération entre le secteur privé et les pouvoirs publics, au-delà des frontières nationales. Nous espérons qu’en partageant publiquement nos conclusions, les personnes chargées d’intervenir en cas d’incident et les chercheurs en sécurité disposeront à l’avenir de meilleurs atouts pour reconnaître et contrer ce type d’attaque à n’importe quelle étape », a déclaré Vitaly Kamluk, chercheur en sécurité au sein de l’équipe GReAT (Global Research & Analysis Team), Kaspersky Lab.

Lors de l’attaque qui a frappé les Jeux olympiques d’hiver, le début de la phase de reconnaissance a eu lieu quelques mois avant l’épidémie du ver réseau destructeur et automodifiable. Il est fort possible qu’Olympic Destroyer prépare une attaque similaire avec de nouveaux objectifs. C’est pourquoi nous conseillons aux organismes de recherche spécialisés dans les menaces biologiques et chimiques de se maintenir en état d’alerte et, dans la mesure du possible, de procéder à un audit de sécurité non planifié.

Les produits Kaspersky Lab détectent et bloquent avec succès les logiciels malveillants liés à Olympic Destroyer.

Pour plus d’informations sur le retour de Olympic Destroyer, y compris les indicateurs de compromis, lisez le blog sur Securelist.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.