Rechercher

Cyberattaque : Les Jeux Olympiques d’Hiver De PyeongChang Victimes Du Malware « Olympic Destroyer »

cyberattaque
Getty Images

Ce weekend, des responsables des Jeux Olympiques d’hiver de Corée du Sud ont confirmé qu’une cyberattaque avait affecté le système pilotant le déroulement de la cérémonie d’ouverture. Ils n’ont pas donné beaucoup de détails à ce sujet bien que, selon un rapport, cette attaque coïncide avec les pannes du site internet officiel des JO, du wifi du stade olympique de PyeongChang, des télévisions et de la connexion internet des salles de presse, durant près de 12 heures. 

Des chercheurs de l’unité de cybersécurité de Talos, une filiale de Cisco, semblent avoir trouvé le malware responsable de ces dysfonctionnements. Ils l’ont nommé « Olympic Destroyer » car son objectif principal était apparemment d’anéantir les systèmes et d’effacer les données, non de les voler. Il a effacé les fichiers et leurs copies ainsi que l’historique en navigant sur les réseaux visés à l’aide de fonctionnalités de Windows. Ces fonctionnalités sont les suivante : PsExec et Windows Management Instrumentation. Ces outils sont utilisés par les administrateurs pour accéder au réseau et opérer sur d’autres ordinateurs à distance. Ces deux outils avaient également été utilisés en 2017 lors de l’implémentation du ransomware NotPetya. Bien que l’attaque des JO n’ait pas été revendiquée, l’Ukraine avait accusé la Russie d’avoir commandité NotPetya. Aujourd’hui, le bruit court que la Russie pourrait être à l’origine de cette nouvelle attaque. Cette dernière a cependant décliné toutes responsabilités : « Nous savons que les médias occidentaux ont lancé des investigations sur l’implication de la Russie dans la cyberattaque relative aux JO en République de Corée du Sud, a déclaré le ministre des affaires étrangères selon la BBC. Bien sûr, aucune preuve ne sera rendue publique. »

Comment fonctionne « Olympic Destroyer »

Cisco Talos n’a pas voulu commenter l’éventuelle attribution de l’attaque à la Russie, et ne sait pas comment le malware a pu se répandre. Il est cependant fort probable que le code malveillant s’appuie sur des informations obtenues lors d’une attaque précédente, bien qu’il n’existe pas de preuves pour le moment. Selon un article de Talos publié lundi, il est évident que les hackers ont obtenu un gros volume d’informations sur les réseaux des JO pour avoir accès aux ordinateurs. Les chercheurs pensent que pour se répandre, le malware utilisait des identifiants. Il s’est donc servi de deux « voleurs » pour les obtenir, l’un volait des informations depuis le navigateur et l’autre depuis un système connecté aux ordinateurs infectés. De plus, certaines informations précédemment obtenues par un biais encore inconnu ont été hardcodées dans le malware. « Le créateur du malware connaissait beaucoup de détails techniques sur les infrastructures des JO comme les identifiants, les noms de domaines, les noms de serveurs et bien sûr, les mots de passe. Nous avons identifié 44 comptes individuels dans le malware », explique les chercheurs de Talos, Warren Mercer et Paul Rascagneres. Une fois en place sur le réseau, il a pu commencer la destruction. « Olympic Destroyer » peut anéantir toutes les méthodes de restauration, ce qui prouve que « le hacker voulait détruire la machine », selon Warren Mercer et Paul Rascagneres.

Cela aurait pu être bien pire

Warren Mercer et son collègue Craig Williams préviennent que cette attaque aurait pu avoir de graves conséquences. Bien que le système soit anéanti, les ordinateurs n’ont pas été infectés en profondeur, les master boot records (ou zones amorces) et les principaux systèmes de fichiers  sont intacts. Si ces derniers avaient également été infectés, cela aurait pu causer davantage de problèmes aux organisateurs des JO. « S’ils ont pu effacer les copies de sauvegarde, cela veut dire qu’ils auraient également pu complètement anéantir les systèmes et le matériel, explique Craig Wiliams à Forbes, et c’est assez inhabituel. » Warren Mercer précise : « C’est comme s’ils étaient entrés sur le réseau en laissant un mot disant qu’ils peuvent revenir à tout moment. »

La société de cybersécurité CrowdStrike affirme que le groupe de hackers Fancy Bear utilise des méthodes similaires. « En novembre et décembre 2017, CrowdStrike a repéré des opérations de collecte d’informations contre une entité du secteur du sport international qui pourraient être attribuées à Fancy Bear. Bien qu’aucun lien n’ait été établi entre cette activité et les attaques des JO, des opérations similaires ont vraisemblablement été menées avant l’attaque », a déclaré l’entreprise à Forbes.

Vous avez aimé cet article ? Likez Forbes sur Facebook

Newsletter quotidienne Forbes

Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC