Passer au contenu

WannaCry : ni les Russes, ni la Corée du Nord, juste une expérience qui a mal tourné ?

C’est la thèse défendue par un chercheur en sécurité au regard des particularités techniques de l’attaque. WannaCry ne serait qu’une expérience de laboratoire qui aurait malencontreusement échappé à ses créateurs.

Frankenstein

Frankenstein à l’ère numérique. Alors que le monde se remet doucement de la fulgurante propagation du ransomware WannaCry (ou WanaCrypt ou WanaCrypt0r 2.0) et que les premières solutions apparaissent, un chercheur en sécurité avance une théorie pour le moins surprenante, mais non dénuée d’intérêt.

S’il ne remet pas en doute la paternité de WannaCry, attribuée au groupe de pirates Lazarus, il émet des doutes sur ses réelles ambitions.

Lazarus derrière WannaCry

Kaspersky Lab et Symantec, deux sociétés spécialisées en sécurité informatique, ont récemment opéré un lien entre le ransomware et les manœuvres du groupe de hackers Lazarus. Avec une « forte probabilité » pour la seconde, tant au regard du code que de l’infrastructure de WannaCry.

capture d’écran

Depuis la cyberattaque ayant visé Sony Pictures, les États-Unis ont établi un lien entre ce groupe et la Corée du Nord. Lien toujours actif à ce jour à en croire les deux sociétés.

Pas une campagne étatique

Pourtant, WannaCry ne ressemble en rien à une campagne fomentée par un État, estime Symantec :

En dépit des liens avec Lazarus, les attaques WannaCry ne portent pas les marques d’une campagne gouvernementale, mais sont plutôt typiques d’une campagne de cybercrime.

Les campagnes gouvernementales se bornent généralement à subtiliser (des données) et déstabiliser. Leur pendant criminel vise le maximum de profit. Quel intérêt pour la Corée du Nord de lancer une campagne par ransomware pour demander 300 dollars de rançon par ordinateur infecté, quand leur dernier gros coup connu contre une banque du Bangladesh lui a rapporté quelque 81 millions de dollars ?

WannaCry n’est qu’une expérimentation

Lazarus serait-il en train d’ajouter une corde à son arc ? Pour le chercheur en sécurité The Gruqd, la réponse est tout autre : WannaCry est un accident. Plus précisément « un logiciel encore en développement qui s’est échappé ».

Dans un billet publié sur Medium, il s’explique sur ce qui le pousse à pencher pour une telle version.

Symantec a relevé des versions antérieures, mais peu virulentes de WannaCry. La société Kaspersky Lab a elle-même repéré des similitudes entre un code utilisé dans une version antérieure du ransomware et dans ceux utilisés par le groupe Lazarus. Celui-ci se serait donc préalablement fait la main sur des versions peu virulentes du programme pour le peaufiner par la suite.

Et la créature s’échappa…

Une phase « test » menée en infectant quelques ordinateurs grâce à des chevaux de Troie ou des vols de mot de passe. Ensuite, les pirates ont musclé leur programme en remplaçant ces techniques éprouvées par l’exploit Eternal Blue, un outil très sophistiqué de la NSA dévoilé par les Shadow Brokers. C’est à ce moment-là que la créature aurait échappé à ses créateurs

« Et puis, la machine s’est emballée. [WannaCry] a explosé et s’est diffusé hors de tout contrôle, au-delà de ce qu’ils pouvaient gérer. Et le pire, c’est que ce truc a touché des cibles sensibles dans les pays occidentaux (hôpitaux) générant une importante couverture médiatique », estime The Grugq.

Plusieurs indices viennent étayer cette théorie :

— le faible paiement demandé, 300 dollars, les pirates prévoyaient certainement d’infecter quelques centaines de machines sur une poignée de semaines ;

— l’envoi manuel de la clé de déchiffrement des données, plutôt qu’un envoi automatisé, donc à grande échelle. Ce qui tend à confirmer le premier indice ;

— l’exploit Eternal Blue a été intégré à la va-vite, quasi en « copier/coller », comme si les hackers avaient lu « 11 façons d’augmenter la puissance de votre ransomware » ;

— la mauvaise performance du ransomware : celui-ci n’infecte en réalité que Windows 7 et 2008 R2 ;

— le kill switch activé accidentellement par un jeune anglais et qui a permis de stopper la propagation du malware .

Pour Gurgq, il ne fait aucun doute que sa présence confirme le logiciel en cours de développement, en cas de véritable cyberattaque, sa présence est inutile, les pirates n’ont que faire d’un tel outil.

Die Hard 4

Lazarus va améliorer WannaCry

Le chercheur valide la thèse du groupe Lazarus derrière la création de WannaCry et va même plus loin. Selon lui, le groupe se sait hors d’atteinte, car protégé par le régime nord-coréen.

« Un groupe de hackers normal ferait profil bas, mais ces gars-là n’ont pas de telles préoccupations. C’est pourquoi je prédis qu’ils vont tirer beaucoup d’enseignements de cette débâcle WannaCry. Ils ajouteront d’autres exploits issus de l’arsenal de la NSA publié par les Russes. Et augmenteront le prix de la rançon – 300 dollars étant trop peu ».

Grugq, à l’instar d’autres experts, voit en effet les Russes derrière les Shadow Brokers. Une manœuvre pour déstabiliser la NSA et l’Oncle Sam sans en avoir l’air. Une théorie défendue par Edward Snowden en août dernier lorsque les Shadow Brokers sont sortis de l’ombre pour se féliciter de leur forfait.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

4 commentaires
  1. Ouais c’est super intéressant … sauf que vous oubliez l’essentiel. Le virus a échappé à tout contrôle ? ah bon ? comment ? COMMENT ? S’il y a une chose qui est certaine, c’est que ce n’est pas par le réseau local, il faut au bout d’un moment arrêter d’être con, ca ne peut être que par INTERNET. Si pendant un temps nous avons essayé à de multiples reprise de contrer la connerie de la presse en mentionnant le mail pourri comme source principale d’infection, -le SMB étant juste débile- aujourd’hui personne n’a pu encore trouver ce fameux mail, et je viens de lire un article mentionnant que le virus était lui meme capable de scanner internet à la recherche de machines infectable ? Ce qui expliquerait enfin le mode principal de propagation du virus (NON le SMB n’a absolument aucun intérêt) Pourquoi pas… mais ca reste très flou, surtout que ca ne semble intéresser personne ?

    1. https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

      “We haven’t found evidence of the exact initial entry vector used by
      this threat, but there are two scenarios that we believe are highly
      possible explanations for the spread of this ransomware:

      Arrival through social engineering emails designed to trick users to
      run the malware and activate the worm-spreading functionality with the
      SMB exploit

      Infection through SMB exploit when an unpatched computer is addressable from other infected machines”

      1. Voilà, super, merci pour ton texte d’il y a 15j…. Très utile… 15j plus tard donc on en est plus la du tout, même le texte jdn part sur une autre idée comme les autres experts.

    2. Ils vont en parler pendant un certain temps puis ils vont passer à autre chose comme d’habitude (je parle des journalistes en général).
      Les détails n’intéressent que ceux qui savent de quoi on parle, sinon ça passe au dessus de la tête du commun des mortels qui ne savent même pas faire de mises à jour. J’en connais même dans mon entourage qui tournent encore sous la version d’essai de W10 lol; que soi disant W10 c’est trop cher et lorsque je leur parle de linux comme alternative ils sont complètement largués…
      Ce que je cherche à faire comprendre c’est que si les gens s’intéressaient plus à savoir comment ça marche au lieu de passer leur temps à se décérébrer sur les réseaux sociaux en jouant a des jeux flash, ça pourrait difficulter la vie à pas mal de hackers. 🙂

Les commentaires sont fermés.

Mode