X
Emilien Ercolani / jeudi 26 octobre 2017 / Thèmes: Sécurité SI, Dossier

NotPetya / ExPetr, l'enquête

Retour sur une attaque informatique qui change le monde

Parce qu’elle a pris racines il y a une quinzaine d’années et à cause de son mode opératoire, de sa préparation et du but final de ses auteurs hors du commun, l’attaque NotPetya/ExPetr est en soi une offensive que nous n’avions encore jamais vue. Le temps est venu de l’analyse, tout comme celui de la manière de se préparer à ce que nous réserve l’avenir en matière de défense et de cybersécurité.

Saviez-vous qu’environ 90 % des échanges de marchandises dans le monde sont réalisés par bateau ? Alors, le mardi 27 juin, quand le monde a appris que les systèmes informatiques de la plus grande entreprise danoise, Maersk Line, le grand armateur qui emploie plus de 100 000 personnes, avaient été touchés par un malware inconnu, le monde maritime a légèrement tangué. L’entreprise représente à elle seule 18 % du transport de containers. Dans le milieu, les systèmes de communication sont critiques afin d’organiser les opérations quotidiennes des navires et un simple incident peut avoir de grandes conséquences. Lorsque les systèmes de communication des ports aux États-Unis, en Espagne, en Inde ou aux Pays-Bas ne répondent plus, c’est la panique à bord. Au South Florida Container Terminal, près de Miami, plusieurs cargos sont coincés et les containers ne peuvent être débarqués. En Inde, le port Jawaharlal Nehru, situé près de Mumbai et Bombay, les opérations sont là aussi perturbées. « Nous sommes dans l’attente, sans savoir quand tout va revenir à la normale », expliquera ainsi Anil Diggikar, le directeur du port. Il se contente de se faire l’écho de Maersk Line, dont le personnel informatique est en pleine effervescence. L’impact de l’attaque qui vient de se produire a des répercussions sur l’ensemble de l’industrie maritime, ainsi que dans les 76 ports dont l’entreprise danoise a la gérance via sa division APM Terminal.

En mars 2016, le ransomware Petya touche des milliers de machines dans le monde.

Mars 2016 : Petya

Les équipes informatiques de Maersk Line ne le savent pas encore, mais elles viennent d’être victimes d’un malware qui va faire beaucoup de bruit. Elles ignorent aussi qu’il leur faudra plusieurs semaines pour tout remettre en ordre. Le 20 juillet, soit presque un mois plus tard, l’armateur explique que si les systèmes de communication ont bel et bien été touchés, il n’a en revanche constaté « aucune faille ni perte de données d’une tierce partie », notamment parce que le malware « n’a pas pu se répandre entre différents réseaux ». Mais pourquoi une telle entreprise a-t-elle été victime de cette cyberattaque ? La défense est bancale : ni les patchs de Microsoft, ni les logiciels antivirus n’auraient pu garantir une protection totale, et malgré ses défenses informatiques, le ver a été introduit dans la pomme. C’est une étrange réaction, qui cache peut-être des négligences dont a fait preuve Maersk Line.

Toujours est-il que le 27 juin, les équipes informatiques pensent, comme beaucoup d’autres à ce moment, avoir été touchées par le ransomware Petya. Apparu en mars 2016, il est à lui seul presque un nouveau genre et fait déjà trembler à l’époque, alors que le monde de l’informatique se remettait à peine de Locky. Il fait ses premières apparitions en Allemagne notamment, en se propageant par phishing, proposant des liens dans les e-mails sensés rediriger vers un téléchargement sur Dropbox. L’originalité de Petya, à l’époque, était que le ransomware ne se contentait pas de chiffrer les fichiers du disque comme le faisaient « traditionnellement » les autres. Il chiffrait également et surtout la MFT (Master File Table), pour Table de fichiers principale, avec un système étrangement basique puisqu’il s’agit du cryptage XOR. Une fois introduit dans la machine, Petya continuait en remplaçant la MBR (Master Boot Record), la zone d’amorce, qui est par exemple pour les PC à architecture Intel le premier secteur adressable d’un disque dur. S’ensuivait un redémarrage forcé de Windows. Vous connaissez la suite puisqu’elle ressemble à un écran rouge, une tête de mort et une demande de rançon ! En l’occurrence environ 400 dollars à payer en bitcoins.

12 mai 2017 : WanaCrypt

Les équipes informatiques de Maersk Line comprendront rapidement que ce n’est pas Petya qui les a frappées, mais une « variante » bien plus évoluée que l’on a rapidement nommée NotPetya. Effectivement, après avoir cru au début que c’était Petya, les chercheurs et la communauté mondiale se sont rapidement unis autour du nom NotPetya pour définir le malware ; sans pour autant savoir quel était son but ou son fonctionnement exact. Mais pour comprendre justement comment fonctionne le malware, il faut regarder ce qu’il s’est passé ces dernières années. Et le premier élément de réponse est récent puisqu’il s’agit d’un autre malware qui a beaucoup fait couler d’encre : WanaCrypt.

Plus de 300 000 utilisateurs avaient été sa victime, principalement dans les entreprises. L’attaque avait été très remarquée car elle fut la première cyberattaque par ransomwares. En juin, dans L’Informaticien n°158, nous expliquions déjà que ce n’était que la première d’une longue série. WanaCrypt touchait les OS Windows via une faille baptisée Eternal Blue qui était pourtant patchée par Microsoft depuis mars dernier (bulletin de sécurité MS17-010) ; toutes les versions (Vista, 7, 8, 8.1, y compris Windows XP) en plus de Windows Server 2008/2008 R2/2012/2012 R2/2016 étaient concernées. En France, plusieurs entreprises ont été affectées, notamment Renault dont la quasi-totalité des usines a été touchée. L’exploit Eternal Blue a toute son importance car il est issu de documents volés à la NSA par le désormais célèbre groupe The Shadow Brokers. « Nous avons vu des failles gardées par la CIA apparaître sur WikiLeaks, et maintenant cette faille volée à la NSA a affecté des clients autour du monde », expliquait alors Brad Smith, président de Microsoft.

Si de nombreuses entreprises ont été victimes de WanaCrypt, c’est parce qu’un grand nombre d’entre elles n’a pas appliqué le patch MS17010. La cyberattaque aura eu le mérite d’en faire réagir quelques-unes, bien que la communauté mondiale de la cybersécurité s’activant, les dégâts furent alors très limités par rapport au potentiel initial. En effet, après rapide analyse, le chercheur dont le pseudonyme est MalwareTech remarque que le programme envoie une requête HTTP à un nom de domaine long et complexe, mais non enregistré, qu’il achète immédiatement. C’est à ce moment-là que la propagation du ransomware s’arrête, alors que les serveurs du nom de domaine étaient dangereusement surchargés de requêtes. C’est ce qu’on a appelé le kill switch ; une fonction a priori implémentée pour tenter de garder le contrôle de la cyberattaque. Les hackers ayant compris que leur astuce avait été déjouée, ils ont alors utilisé un second nom de domaine. Rebelote : il est aussitôt acheté par les chercheurs. Les attaquants ont alors élaboré une troisième version en enlevant le kill switch. Coup de chance, cette nouvelle mouture de WanaCrypt s’avère défectueuse.

27 juin 2017 :  NotPetya/ExPetr

Nous avons vu que WanaCrypt s’appuyait sur l’exploit Eternal Blue de Windows. NotPetya a fait de même, en plus de passer par un autre exploit : Eternal Romance. Tous deux sont issus du vol de documents à la NSA par le groupe The Shadow Brokers, dont nous avons appris l’existence en 2016. Alors que Wanacrypt s’est déployé avec un effet boule de neige, la propagation de NotPetya/ExPetr fut plus lente. En fait, elle est survenue via le hacking d’un logiciel ukrainien de comptabilité baptisé « MeDoc ». Les pirates auraient utilisé la fonctionnalité de mise à jour automatique pour diffuser le malware/ransomware sur tous les postes utilisant ledit logiciel. C’est donc le mode de propagation de NotPetya qui diffère : il disposait de trois vecteurs de propagation, dont le premier via le protocole SMB de Windows mais sur un réseau local. Le malware vérifiait la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au malware de voler les mots de passe locaux, soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l’API CredEnumerateW. Il disposait de plusieurs capacités pour se propager sur le réseau : • en utilisant les identifiants récupérés sur la machine ;
• en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).

Après propagation, le malware force un redémarrage de la machine via une tâche planifiée. Un message est alors affiché indiquant qu’une vérification de l’intégrité des disques est en cours. Le rançongiciel serait en fait en train de chiffrer la Master File Table (MFT). Cela rend inaccessibles les fichiers présents sur la machine. Enfin, le malware s’installe à la place du secteur de démarrage de Windows afin d’afficher le message de rançon.

Le deuxième vecteur est un exploit modifié EternalBlue visant le service Windows SMBv1, aussi utilisé par WannaCry et les vulnérabilités Microsoft CVE-20170146 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-2017-0147 (Windows SMB Information Disclosure Vulnerability), Microsoft CVE-2017-0143 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE2017-0145 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-2017-0148 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-20170144 (Windows SMB Remote Code Execution Vulnerability).

Enfin, le troisième vecteur est un exploit Eternel Romance 1.3.0, un code d’exécution ciblant les OS Windows XP, 2003, Vista, 7, 8, Windows 2008 et 2008 R2 sur le port 445 (bulletin de sécurité et patch Microsoft MS17-010). D’où la propagation très rapide à travers les réseaux sur des organisations comme Auchan, SNCF, Saint-Gobain ou le géant publicitaire WPP, en ce qui concerne uniquement la France.

NotPetya :  plutôt un wiper ?

Après l’avènement de NotPetya, la communauté mondiale de la cybersécurité s’est rapidement mise en marche. Deux jours plus tard, le 29 juin, l’éditeur Kaspersky explique que le malware n’est peut-être pas ce que l’on croit. Ce ne serait pas un ransomware, mais un « wiper ». En d’autres termes, le malware aurait cherché à se faire passer pour ce qu’il n’était pas avec un but précis : détruire de la donnée, et accessoirement brouiller les pistes.

C’est le chercheur Matthieu Suiche qui a pointé une différence majeure entre le ransomware Petya de 2016 et le NotPetya de 2017. Si le premier modifiait le disque de manière à pouvoir chiffrer et déchiffrer les données, le second va écraser un certain nombre de blocs sectoriels du disque. Toutefois ces blocs sont généralement inutilisés sur la plupart des machines. Une autre expertise va dans le sens de la théorie « wiper ». Au début de l’attaque, l’adresse mail utilisée par les attaquants avait été bloquée dans les premières heures de la propagation du ransomware, sans que cela semble grandement le perturber. Normal, répondait Kaspersky, quand bien même ils auraient obtenu moult rançons, les auteurs de NotPetya auraient été bien incapables de fournir une clé de déchiffrement. L’identifiant d’installation, indispensable à l’obtention de la clé, n’est en fait, selon l’éditeur russe, qu’un amas de caractères généré aléatoirement, d’où il est impossible de retirer la moindre information permettant de déchiffrer le disque. « Ce que cela signifie ? D’une part, même si la victime paie, elle ne récupérera pas ses données. Deuxièmement, cela renforce la théorie selon laquelle le principal objectif d’ExPetr n’était pas financier, mais bien destructeur. »

Protection : ce qu’en disent les experts

Ce que l’on a vu ces derniers mois avec WanaCrypt, NotPetya ou même Adylkuzz nous apprend beaucoup de choses et notamment que nous ne sommes pas à l’abri de menaces inconnues qui peuvent frapper les machines. Comment alors se protéger de la manière la plus efficace possible ?

Tous les éditeurs vous diront qu’ils ont les meilleures solutions. Mais l’important est plutôt d’anticiper. Lors d’un webinaire organisé par notre magazine début juillet, le chercheur Renaud Lifchitz, chez Digital Security, estimait par exemple que des attaques via les systèmes de mises à jour vont se multiplier, sur WSUS (Windows Server Update Services) par exemple, en substituant une mise à jour par une autre « notamment dans des intranets avec des attaques type Man in the Middle ». « Il faut penser en termes de cyber-résilience plutôt qu’en termes de cybersécurité », expliquait pour sa part Laurent Heslault, chez Symantec. Et donc en partant du principe que de nouvelles attaques vont arriver. « La notion de correctifs est essentielle, mais ce n’est qu’un des éléments de la chaîne », ajoute-t-il. « Nous sommes en général toujours en retard par rapport aux cyber-attaquants », expliquait pour sa part Nicolas Sterckmans, chez MalwareBytes. Pour Renaud Lifchitz, l’un des premiers éléments de réponse réside dans l’administration des systèmes, par exemple éviter les super-administrateurs et les remplacer par des administrateurs en fonction des zones du réseau. Le cloisonnement des réseaux est aussi un sujet primordial, notamment pour des systèmes anciens que l’on sait plus faibles. La virtualisation peut aussi être une réponse pour cette vision de la résilience.  Parallèlement, les techniques des éditeurs évoluent et l’intelligence artificielle prend une place considérable dans le monde de la cybersécurité. « Chez MalwareBytes, nous travaillons avec l’IA sur l’analyse de la chaîne d’attaque afin de l’interrompre, au lieu de travailler sur la menace en elle-même », explique Nicolas Sterckmans. En matière de techniques d’avenir, le chiffrement « full homomorphe » est « un processus encore lourd à mettre en place, des solutions intermédiaires existent mais manquent de scalabilité », analyse Renaud Lifchitz. Quoi qu’il en soit, tous s’accordent pour dire que les scénarios de risque existent et continueront à exister. Mais peut-être que la philosophie sécuritaire des entreprises, aidée par un appui des directions générales en pleine prise de conscience, doit, elle aussi, sortir de sa zone de confort.


BITDEFENDER CIBLE LES MÉTHODES PLUTÔT QUE LES MALWARES

La protection du système d’information passe par la sécurisation des postes mais aussi du système dans son intégralité. C’est pour répondre à cette problématique que l’éditeur BitDefender a récemment dévoilé une nouvelle solution baptisée Hypervisor Introspection (HVI), ou l’Introspection de la mémoire depuis l’hyperviseur. « Cette solution n’est pas intégrée directement dans un OS, mais son module est installé dans l’hyperviseur, dans la couche basse, matérielle » , nous explique Vincent Meysonnet, directeur technique avant-vente de l’éditeur. Elle fonctionne donc dans la mémoire RAM, ce qui lui confère aussi un accès prioritaire avec plus de privilèges, et lui permet de pouvoir isoler la solution de sécurité. Compatible pour le moment uniquement avec Xen Server 7 de Citrix, HVI fonctionne d’abord de manière comportementale, et « ne se concentre pas sur le malware mais bien sur la technique d’attaque, comme un dépassement de mémoire par exemple » . La solution fait aussi de la corrélation d’événements, et s’appuie sur les remontées des 500 millions d’utilisateurs qui utilisent le moteur BitDefender dans le monde. « Avec plus de 3 000 malwares créés toutes les 10 minutes dans le monde, on ne peut plus faire la course avec les hackers. En revanche, les tech niques d’attaque sont toujours les mêmes », et c’est sur ce point que se focalise donc la solution.


NotPetya : D’ORIGINE RUSSE ?

Début juillet, l’éditeur ESET attribuait la cyberattaque NotPetya au groupe TeleBots. Mandatée par les forces de l’ordre dans leur enquête forensic sur les machines physiques et les données affectées par la cyberattaque, l’entreprise FireEye dispose de données intéressantes pour éclairer cette affaire. « Il est important que nous en apprenions autant qu’il est possible sur cette attaque afin de nous assurer que leurs auteurs sont poursuivis en conséquence. Nous avons demandé à FireEye de nous assister dans cette enquête en raison de son savoirfaire reconnu dans le domaine des enquêtes criminelles et des évaluations de renseignements » , a indiqué Sergey Demediuk, chef du département de Cyber Police, police nationale d’Ukraine. De son côté, FireEye explique : « Notre analyse initiale d’EternalPetya a trouvé de nombreuses similitudes avec des cyber attaques menées par le Sandworm Team, un groupe basé en Russie. Le Sandworm Team a déjà ciblé l’Ukraine par le passé, plus particulièrement en décembre 2015 puis de nouveau en décembre 2016 lorsqu’il a provoqué les seules coupures de courant électrique attribuées à une cyberattaque. Nous pensons que ce groupe est sponsorisé par le gouvernement russe. »


La chronologie des attaques Petya.

(cliquez pour agrandir et parcourir)

Petya

Print
3632

x
Rechercher dans les dossiers
Actuellement à la Une...
L’éditeur de système de fichiers pour le HPC et les entreprises renouvelle ses baies pour optimiser performance et coût de possession pour ses clients.

La France commencera à prélever la taxe sur les géants du numérique Gafa (Google, Apple, Facebook, Amazon, etc.) à partir du 1er janvier, sans attendre son adoption au niveau européen, a annoncé ce lundi le ministre de l'Economie Bruno Le Maire.

Et rebelote ! Facebook a une nouvelle fois exposé les données de ses utilisateurs à des développeurs tiers. Cette fois-ci, l’API bugué permettait de récupérer les photos d’un membre du réseau social, y compris les photos non publiées. 6,8 millions de comptes sont affectés.

L’éditeur d’une solution de stockage objet open source compatible S3 se concentre maintenant sur le stockage des données pour les applications d’intelligence artificielle et étend ainsi les fonctionnalités de sa solution. Au passage l’éditeur ajoute de nouveaux services de support.

Le fleuron français des réseaux IoT lance sa première formation autour des applications pratiques de l’Internet des objets. Principe : confier aux participants le développement d’une solution IoT innovante et viable commercialement en seulement trois mois. Une formation gratuite que Sigfox déclinera en Europe dès 2019. Article paru dans L'Informaticien n°172.


Le patron de l’opérateur au carré rouge n’est pas franchement emballé par le bilan de la plateforme de signalement de problèmes mis en place par l’Arcep. Il l’a fait savoir lors d’une audition au Sénat, dénonçant un régulateur qui sort de son rôle et une information « erronée » et « préjudiciable ».

Pour se faire pardonner des infractions à la loi sur le littoral lors de son mariage extravagant en 2013, Sean Parker, co-fondateur de Napster et ancien dirigeant de Facebook dans sa phase de démarrage, a conçu une application gratuite dévoilée jeudi par les autorités de Californie.

Sous la pression de ses salariés, le géant joue la prudence sur l’IA. Il annonce qu’il ne commercialisera pas de produi...

Nous avions rencontré Vexata il y a un an. Nous avons profité de ce nouveau "tour" pour refaire un point sur l’activité de cette entreprise. L’architecture choisie est toujours un modèle du genre et correspond parfaitement aux charges de stockage que demandent des applications analytiques de haut niveau. Nous ne sommes pas les seuls à le croire, Fujitsu vient de placer Vexata comme une solution de référence dans le domaine dans son laboratoire nord-américain avec des architectures de référence sur ses serveurs Primergy.

Le spécialiste du stockage dans les environnements HPC a connu une belle année 2018 avec des acquisitions qui ont renforcé ses positions dans le segment haut du marché du stockage et marqué son entrée sur le marché de l’entreprise. 

Toutes les News

LIVRES BLANCS

Tous les secteurs industriels dans le monde sont confrontés à des défis informatiques spécifiques qui conditionnent le succès ou l’échec de l’entreprise.


Au cours de la dernière année, les données volées et vulnérables se sont révélées des armes précieuses pour les adversaires de tous les horizons, dans toutes les régions, et pour toutes les motivations.


Au fur et à mesure que votre exposition à d’autres entreprises augmente, votre exposition au risque augmente également. Il ne s’agit pas uniquement de vos propres fournisseurs mais également les leurs. Comment pouvez-vous suivre toutes ces relations afin de gérer vos risques?


Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


PROTECTION ENDPOINT NEXT-GEN : ÉVOLUTION OU RÉVOLUTION ?, un Livre Blanc SOPHOS.

Après la révolution Next-Gen Firewall de ces dernières années, une nouvelle révolution Next-Gen est cours dans le domaine de la sécurité des systèmes Endpoint. Au-delà du débat pour savoir s’il s’agit d’une révolution ou d’une simple évolution, il est certain qu’une série de nouvelles technologies est en train de rapidement émerger, en apportant une contribution significative à la lutte contre les menaces avancées.


Tous les Livres Blancs