Les réseaux informatiques de l’organisateur sud-coréen ont été partiellement sabotés juste avant la cérémonie d’ouverture. Des chercheurs ont analysé le malware qui en serait responsable.
Pour les administrateurs systèmes, la cérémonie d’ouverture des jeux olympiques de Pyeongchang n’a pas été de tout repos. Des serveurs et des systèmes d’affichage sont tombés en panne. Le site Web officiel de répondait plus empêchant certains visiteurs d’imprimer leurs billets. Sur place, les réseaux Wi-Fi étaient également aux abonnés absents, gênant notamment le travail des journalistes.
Mais ces déboires techniques n’étaient a priori pas liés à une simple avarie. Les chercheurs en sécurité de Cisco Talos ont pu mettre la main sur le malware qui est probablement à l’origine de cette mésaventure. Baptisé « Olympic Destroyer », ce code malveillant avait clairement pour objectif de saboter les infrastructures informatiques des JO.
Une fois installé sur une machine, il tente de voler les mots de passe dans les navigateurs et dans le système, puis il efface tout un tas de fichiers et de programmes liés aux procédures de sauvegardes et de récupération, ainsi que des données partagées en réseau. En particulier, il efface les données sauvegardées par la technologie Shadow Copy de Microsoft.
Une connaissance intime de l’infrastructure
Le malware avait ensuite la capacité de se répliquer sur d’autres machines, à la manière d’un ver informatique. « Effacer tous les outils de récupération montre que l’attaquant n’avait pas l’intention de laisser la machine en état de marche. Le but de ce malware est d’effectuer des actes de destruction sur la machine, de la déconnecter du réseau et de supprimer des données distantes », expliquent les chercheurs de Cisco Talos dans une note de blog.
Les auteurs d’Olympic Destroyer avaient visiblement une connaissance approfondie de l’infrastructure informatique à Pyeongchang. Le code malveillant disposait en effet d’une liste de 44 comptes d’administrateurs, permettant d’accéder à différents serveurs (DNS, DMZ, base de données, etc.). La phase de destruction d’Olympic Destroyer a donc probablement été précédée par une phase de renseignement technique réalisé par d’autres moyens. S’il s’avère que les attaquants disposaient déjà d’une présence dans le réseau, il est possible qu’Olympic Destroyer ait simplement été téléchargé à distance.
Interrogés par Forbes, les chercheurs de Cisco Talos estiment que l’attaque aurait pu être beaucoup plus destructive, en effaçant par exemple le Master Boot Record ou le Master File System sur les ordinateurs. « En effaçant seulement des données de sauvegarde, c’est comme si les attaquants voulaient montrer qu’ils auraient pu détruire complètement les systèmes et les rendre irrécupérables. C’est comme laisser une carte de visite avec marqué dessus ‘On peut revenir quand on veut ‘ », explique Craig Williams à Forbes.
Plusieurs pistes mènent vers Poutine
Qui se cache derrière Olympic Destroyer ? Cisco Talos ne se risque à aucune attribution. Les chercheurs constatent néanmoins que certaines techniques mises en œuvre dans le malware sont identiques à celles trouvées dans les ransomwares BadRabbit et Netya/NotPetya, que l’Ukraine et la CIA ont attribués au groupe de pirates russes APT28. Ceci, évidemment, ne prouve rien.
Les pirates russes, connus pour leur patriotisme, avaient toutefois un bon motif pour réaliser ce type d’opération : la vengeance. En effet, les sportifs russes ont été bannis des JO de Pyeongchang pour des raisons de dopage. Depuis début janvier, les trolls de « Fancy Bear », qui sont une émanation d’APT28, ont publié des emails et des documents volés auprès des organisateurs de JO, dans le but de les discréditer.
A noter, enfin, qu’un second groupe de pirates rode dans les réseaux de Pyeongchang. Détecté par les chercheurs de McAfee début février, il a été baptisé « Operation GoldDragon ». Ces pirates sont beaucoup plus discrets que les précédents et ne font pas de sabotage. Selon Wired, ils s’introduisent dans les systèmes au moyen d’emails piégés et procèdent à des actions d’espionnage plutôt sophistiquées. Des éléments de langage coréens trouvés dans cette opération font penser à la Corée du nord, sans aucune certitude. En tous les cas, ce ne serait pas étonnant, venant d’un frère ennemi.