Alors que les Jeux olympiques de Paris commencent bientôt, regardons le passé franchement très mouvementé de la Russie en matière de piratage des JO.
« Olympic Destroyer »
Une attaque entrée dans l’histoire des hackers concerne les Jeux olympiques d’hiver de 2018 à Pyeongchang en Corée du Sud, connus sous le nom de Olympic Destroyer.
Trois mois avant le début des jeux, des centaines de membres du comité d'organisation et d'autres personnes impliquées dans la préparation des jeux ont reçu un e-mail avec pour objet « Liste des délégués » et un fichier zip en pièce jointe, contenant un document Word. Lors de l'ouverture, le texte était simplement tronqué, mais il y avait un bouton utile en haut du document : Activer le contenu. En cliquant dessus, vous exécutiez un script PowerShell qui a téléchargé et exécuté un programme malveillant, qui a installé une porte dérobée et a probablement également corrigé le texte tronqué. Parmi les destinataires figuraient des boîtes aux lettres de deux sociétés informatiques qui fournissaient des serveurs et des réseaux pour les jeux.
Puis, le 9 février 2018, la cérémonie d’ouverture a commencé et, à peu près au même moment, les vers implantés sur les ordinateurs du réseau olympique se sont réveillés. En analysant les systèmes sur lesquels ils avaient été implantés, ils ont trouvé les informations d'identification du navigateur et du réseau et les ont utilisées pour se connecter à d'autres systèmes, puis ont répété le même processus sur ce système, se propageant rapidement à travers le réseau confiné. Et une fois les informations d'identification exfiltrées, il a effacé les données de configuration de démarrage, ciblant spécifiquement les contrôleurs de domaine (DC) Active Directory, les faisant planter et les rendant impossibles à démarrer.
Le personnel informatique du centre d’opérations technologiques pour les jeux était heureusement préparé et, en peu de temps, il a contourné les contrôleurs de domaine manquants, mettant en place l’accès Wi-Fi et les téléviseurs connectés à Internet juste avant la fin de la cérémonie d’ouverture. Ils ont ensuite passé le reste de la nuit à lutter contre le malware, coupant la connexion entre le réseau olympique et Internet et le lendemain matin, ils avaient éradiqué le malware du réseau, permettant ainsi aux jeux de se dérouler.
Une fois la tension retombée, la question de savoir qui était derrière l’attaque a commencé à faire l’objet d’une enquête. Le coupable évident était bien sûr la Corée du Nord, et les premiers travaux d’investigation sur le logiciel malveillant ont révélé de nombreuses similitudes avec les logiciels malveillants précédents, mais cela n’avait pas vraiment de sens. La Corée du Nord avait en fait tendu la main avant les jeux, Kim Jong-un a envoyé sa sœur comme émissaire diplomatique aux jeux, et les deux pays ont même combiné leurs équipes de hockey féminin pour les jeux.
Les principaux indices quant à la véritable source du malware provenaient des « Rich Headers » du malware, qui donnent des informations sur les fichiers sources présents dans la compilation du programme, et ceux-ci correspondaient exactement entre ce nouveau malware et des échantillons antérieurs de malware nord-coréen. Un chercheur de Kaspersky Labs, Igor Soumenkov, a approfondi cette correspondance et cela n'a pas eu de sens pour lui, car même un changement mineur dans l'un des fichiers sources aurait entraîné un en-tête très différent, donc la probabilité qu'une correspondance identique soit trouvé devait être mince. L’analyse des « Rich Headers » ne fait normalement pas partie de l’attribution légale des logiciels malveillants, mais s’est avérée cruciale dans ce cas. Des recherches plus approfondies ont montré que c'était effectivement le cas : les auteurs du malware avaient délibérément échangé les « Rich Headers » pour pointer du doigt la Corée du Nord.
Les véritables coupables ont été découverts en regardant l'adresse IP et l'URL avec lesquelles les étapes initiales (vous vous souvenez de ce document Word compressé ?) du malware communiquaient (C2), qui se sont révélées identiques à l'URL utilisée lors d'une attaque contre les systèmes électoraux dans l'Illinois et l'Arizona à l'approche des élections américaines de 2016 (les données de 200 000 électeurs ont été volées). Et voilà, nous savions qui était derrière les attaques contre les élections américaines de 2016 et donc la Russie était également derrière cette attaque et avait tenté de pointer du doigt les Nord-Coréens. Ils ont tout simplement oublié la règle d’or de la sécurité opérationnelle : ne réutilisez pas l’infrastructure entre les opérations – cela finira par conduire à une attribution précise.
Le « Hack » d’origine
Le « hack » qui a tout déclenché a été le scandale du dopage, dans lequel la RUSADA, l'agence antidopage russe, facilitait la tricherie au lieu de l'arrêter. Après les Jeux olympiques d'hiver de 2010 (la Russie n'avait pas remporté « assez » de médailles), Vitaly Stepanov, qui travaillait chez RUSADA et avait pris conscience de l'ampleur de la tricherie, a tenté de convaincre l'Agence mondiale antidopage (AMA) d'en prendre note, mais sans succès.
Lui et sa femme ont finalement trouvé un journaliste allemand qui a pris leur histoire au sérieux, et ils l'ont dévoilée dans un documentaire télévisé en 2014. Finalement, l'AMA a examiné les allégations, a enquêté et a découvert un dopage de masse, qui a ensuite été suivi d'une interdiction par le Comité international olympique pour la Russie de participer aux Jeux olympiques d'hiver de 2018, une interdiction qui est toujours en vigueur aujourd'hui.
JO de Paris 2024 : la prochaine cible de la Russie
Outre 2018, la Russie a ciblé les responsables et les organisations antidopage des jeux de Rio en 2016 et ceux de Tokyo en 2020.
Plusieurs grandes sociétés de cybersécurité constatent que les cyberattaques et les campagnes de désinformation s'intensifient à l'approche des jeux de Paris 2024. Lisez le point de vue de Microsoft ici et ici, ainsi que le rapport de Mandiant ici.
Le Security Lab d'Hornetsecurity constate qu'il existe deux risques principaux pour les Jeux de Paris : l'un concerne les attaques destructrices contre l'infrastructure informatique des jeux (y compris les athlètes, le Comité international olympique, les systèmes de paiement et de billetterie et les infrastructures physiques), et l'autre concerne les campagnes de désinformation. L’exemple le plus flagrant de désinformation est un faux documentaire intitulé Olympics has Fallen (une pièce de théâtre du film de 2013) qui utilise l’image de Tom Cruise pour discréditer le Comité international olympique et faire progresser la désinformation russe.
Nos solutions de protection de la messagerie seront vigilantes pour arrêter les tentatives de phishing utilisant les jeux comme leurres – un favori, non seulement auprès des agences de renseignement russes (comme nous l’avons vu en 2018), mais aussi auprès des criminels de droit commun. Tout événement populaire ou occasion sociétale est utilisé pour augmenter la probabilité de victimes compromises. Les thèmes du phishing seront du type « billets gratuits pour voir ce match ici » (pour répondre à la cupidité) ou « vos billets ont été annulés en raison d'une erreur matérielle » (colère) et « attaque terroriste probable au stade » (peur). Ainsi que de nombreuses autres sortes « créatives ». Et si vous êtes une entreprise impliquée ou soutenant les Jeux olympiques de Paris, il est très important que vous soyez conscient des menaces à la lumière de l’activité attendue de la Russie (et d’autres pays). Nous pourrions également assister à des attaques DDOS contre diverses entités impliquées dans le support des jeux.
Compte tenu de la guerre en cours en Ukraine, on peut s’attendre à ce que les potentielles attaques de la Russie visent également à affaiblir la détermination du soutien à l’Ukraine à travers l’Europe.
Conclusion
Êtes-vous prêt pour les jeux ? Pour les passionnés de sport, cette question évoque de longues heures à regarder les épreuves à la TV, des encouragements pour votre pays et la célébration de prouesses athlétiques exceptionnelles. Pour les cyberdéfenseurs, cette question a une toute autre signification - alors, êtes-vous prêts ? Découvrez notre solution Microsoft 365 Total Protection maintenant pour ne plus vous poser cette question.
