Symantec vient de révéler toute une série de nouveaux indices techniques attribuant avec « forte probabilité » le ransomware WannaCry au groupe de pirates Lazarus. Or, celui-ci serait directement lié au régime de Pyongyang. Le gouvernement américain l’avait affirmé sans sourciller à l’époque de l’attaque sur Sony Pictures en 2014. Il faut dire que les campagnes réalisées par le passé par Lazarus correspondent bien avec les intérêts politiques et économiques de ce pays : sabotage et espionnage en Corée du sud, pillage de banques à hauteur de dizaines de millions de dollars, etc.
Le problème, c’est que l’attaque WannaCry ne rentre pas dans cette lignée. « En dépit des liens avec Lazarus, les attaques WannaCry ne portent pas les marques d’une campagne gouvernementale, mais sont plutôt typiques d’une campagne de cybercrime », explique Symantec. Pourquoi, en effet, un groupe de hackers gouvernementaux s’abaisserait-il à demander des rançons de 300 dollars par machine bloquée ? A ce jour, les gains réalisés sont de l’ordre de 100.000 dollars, donc très en deçà des piratages de banques réalisés par le passé. Tout ceci n’est pas très cohérent.
Une accélération mal gérée
Le chercheur en sécurité The Grugq estime que l’épidémie de WannaCry est probablement un accident de laboratoire. Dans une note de blog, il pense que Lazarus s’est bien lancé dans le ransomware, mais pas forcément sur ordre du gouvernement nord-coréen. Comme le montre l’analyse de Symantec, les pirates ont d’abord lancé des versions peu virulentes de WannaCry sur des cibles bien circonscrites, en infectant à la main quelques dizaines ou centaines d’ordinateurs à coup de cheval de Troie et de vol de mots de passe. Puis les pirates ont remplacé ces techniques classiques de propagation par EternalBlue, l’exploit ultravirulent de la NSA. « Et là, quelque chose a foiré. [Le malware] a explosé et s’est diffusé hors de tout contrôle, au-delà de ce qu’ils pouvaient gérer. Et le pire, c’est que ce truc a touché des cibles sensibles dans les pays occidentaux (hôpitaux) générant une masse de couverture média », estime The Grugq.
There's no reason to assume Lazarus was acting under state direction, and the current evidence indicates that the ransomware escaped
— thaddeus e. grugq 🌻 (@thegrugq) May 23, 2017
Selon le chercheur, plusieurs éléments viennent soutenir cette thèse. Tout d’abord le fait que l’envoi de la clé de déchiffrement se fasse manuellement. Lorsqu’on décide d’infecter un grand nombre de machines, on met en place un système automatisé. Par ailleurs, le malware ne fonctionnait en réalité que sur Windows 7 et 2008 R2, pas sur les autres versions Windows. Ce qui serait le signe d’un « faible niveau de développement ». Selon lui, l’intégration d’EternalBlue était même faite de façon rudimentaire, façon « copier-coller ». Enfin, il y a cet étrange kill switch. Sa présence fait sens dans le cadre d’une phase d’expérimentations pendant laquelle on ne veut pas prendre de risque, mais pas vraiment pour une réelle campagne cybercriminelle. Bref, « c’est un logiciel qui était encore en développement et qui s’est échappé ».
D’autres attaques sont à prévoir
Mais l’histoire ne se termine pas là. Selon The Grugq, Lazarus reste totalement protégé par le régime nord-coréen et n’a donc pas de soucis judiciaires à se faire. D’ailleurs, à aucun moment les auteurs de WannaCry n’ont cherché à mettre la pédale douce. Au contraire, ils ont continué à multiplier les variantes. « Un groupe de hackers normal mettrait le profil bas, mais ces gars-là n’ont pas ce problème. C’est pourquoi je prédis qu’ils vont tirer beaucoup d’enseignements de cette débâcle. Ils vont ajouter d’autres exploits de la NSA diffusés par les Russes(*). Ils vont augmenter le prix de la rançon, car 300 dollars c’est vraiment trop bas », souligne le chercheur. L’avenir le dira, mais il faut espérer qu’il se trompe.
(*) The Grugq pense, comme un certain nombre d’autres experts, que le groupe Shadow Brokers est une émanation des agences gouvernementales russes. Un faux nez destiné à narguer la NSA.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.