X
Emilien Ercolani / jeudi 26 octobre 2017 / Thèmes: Sécurité SI, Dossier

NotPetya / ExPetr, l'enquête

Retour sur une attaque informatique qui change le monde

Parce qu’elle a pris racines il y a une quinzaine d’années et à cause de son mode opératoire, de sa préparation et du but final de ses auteurs hors du commun, l’attaque NotPetya/ExPetr est en soi une offensive que nous n’avions encore jamais vue. Le temps est venu de l’analyse, tout comme celui de la manière de se préparer à ce que nous réserve l’avenir en matière de défense et de cybersécurité.

Saviez-vous qu’environ 90 % des échanges de marchandises dans le monde sont réalisés par bateau ? Alors, le mardi 27 juin, quand le monde a appris que les systèmes informatiques de la plus grande entreprise danoise, Maersk Line, le grand armateur qui emploie plus de 100 000 personnes, avaient été touchés par un malware inconnu, le monde maritime a légèrement tangué. L’entreprise représente à elle seule 18 % du transport de containers. Dans le milieu, les systèmes de communication sont critiques afin d’organiser les opérations quotidiennes des navires et un simple incident peut avoir de grandes conséquences. Lorsque les systèmes de communication des ports aux États-Unis, en Espagne, en Inde ou aux Pays-Bas ne répondent plus, c’est la panique à bord. Au South Florida Container Terminal, près de Miami, plusieurs cargos sont coincés et les containers ne peuvent être débarqués. En Inde, le port Jawaharlal Nehru, situé près de Mumbai et Bombay, les opérations sont là aussi perturbées. « Nous sommes dans l’attente, sans savoir quand tout va revenir à la normale », expliquera ainsi Anil Diggikar, le directeur du port. Il se contente de se faire l’écho de Maersk Line, dont le personnel informatique est en pleine effervescence. L’impact de l’attaque qui vient de se produire a des répercussions sur l’ensemble de l’industrie maritime, ainsi que dans les 76 ports dont l’entreprise danoise a la gérance via sa division APM Terminal.

En mars 2016, le ransomware Petya touche des milliers de machines dans le monde.

Mars 2016 : Petya

Les équipes informatiques de Maersk Line ne le savent pas encore, mais elles viennent d’être victimes d’un malware qui va faire beaucoup de bruit. Elles ignorent aussi qu’il leur faudra plusieurs semaines pour tout remettre en ordre. Le 20 juillet, soit presque un mois plus tard, l’armateur explique que si les systèmes de communication ont bel et bien été touchés, il n’a en revanche constaté « aucune faille ni perte de données d’une tierce partie », notamment parce que le malware « n’a pas pu se répandre entre différents réseaux ». Mais pourquoi une telle entreprise a-t-elle été victime de cette cyberattaque ? La défense est bancale : ni les patchs de Microsoft, ni les logiciels antivirus n’auraient pu garantir une protection totale, et malgré ses défenses informatiques, le ver a été introduit dans la pomme. C’est une étrange réaction, qui cache peut-être des négligences dont a fait preuve Maersk Line.

Toujours est-il que le 27 juin, les équipes informatiques pensent, comme beaucoup d’autres à ce moment, avoir été touchées par le ransomware Petya. Apparu en mars 2016, il est à lui seul presque un nouveau genre et fait déjà trembler à l’époque, alors que le monde de l’informatique se remettait à peine de Locky. Il fait ses premières apparitions en Allemagne notamment, en se propageant par phishing, proposant des liens dans les e-mails sensés rediriger vers un téléchargement sur Dropbox. L’originalité de Petya, à l’époque, était que le ransomware ne se contentait pas de chiffrer les fichiers du disque comme le faisaient « traditionnellement » les autres. Il chiffrait également et surtout la MFT (Master File Table), pour Table de fichiers principale, avec un système étrangement basique puisqu’il s’agit du cryptage XOR. Une fois introduit dans la machine, Petya continuait en remplaçant la MBR (Master Boot Record), la zone d’amorce, qui est par exemple pour les PC à architecture Intel le premier secteur adressable d’un disque dur. S’ensuivait un redémarrage forcé de Windows. Vous connaissez la suite puisqu’elle ressemble à un écran rouge, une tête de mort et une demande de rançon ! En l’occurrence environ 400 dollars à payer en bitcoins.

12 mai 2017 : WanaCrypt

Les équipes informatiques de Maersk Line comprendront rapidement que ce n’est pas Petya qui les a frappées, mais une « variante » bien plus évoluée que l’on a rapidement nommée NotPetya. Effectivement, après avoir cru au début que c’était Petya, les chercheurs et la communauté mondiale se sont rapidement unis autour du nom NotPetya pour définir le malware ; sans pour autant savoir quel était son but ou son fonctionnement exact. Mais pour comprendre justement comment fonctionne le malware, il faut regarder ce qu’il s’est passé ces dernières années. Et le premier élément de réponse est récent puisqu’il s’agit d’un autre malware qui a beaucoup fait couler d’encre : WanaCrypt.

Plus de 300 000 utilisateurs avaient été sa victime, principalement dans les entreprises. L’attaque avait été très remarquée car elle fut la première cyberattaque par ransomwares. En juin, dans L’Informaticien n°158, nous expliquions déjà que ce n’était que la première d’une longue série. WanaCrypt touchait les OS Windows via une faille baptisée Eternal Blue qui était pourtant patchée par Microsoft depuis mars dernier (bulletin de sécurité MS17-010) ; toutes les versions (Vista, 7, 8, 8.1, y compris Windows XP) en plus de Windows Server 2008/2008 R2/2012/2012 R2/2016 étaient concernées. En France, plusieurs entreprises ont été affectées, notamment Renault dont la quasi-totalité des usines a été touchée. L’exploit Eternal Blue a toute son importance car il est issu de documents volés à la NSA par le désormais célèbre groupe The Shadow Brokers. « Nous avons vu des failles gardées par la CIA apparaître sur WikiLeaks, et maintenant cette faille volée à la NSA a affecté des clients autour du monde », expliquait alors Brad Smith, président de Microsoft.

Si de nombreuses entreprises ont été victimes de WanaCrypt, c’est parce qu’un grand nombre d’entre elles n’a pas appliqué le patch MS17010. La cyberattaque aura eu le mérite d’en faire réagir quelques-unes, bien que la communauté mondiale de la cybersécurité s’activant, les dégâts furent alors très limités par rapport au potentiel initial. En effet, après rapide analyse, le chercheur dont le pseudonyme est MalwareTech remarque que le programme envoie une requête HTTP à un nom de domaine long et complexe, mais non enregistré, qu’il achète immédiatement. C’est à ce moment-là que la propagation du ransomware s’arrête, alors que les serveurs du nom de domaine étaient dangereusement surchargés de requêtes. C’est ce qu’on a appelé le kill switch ; une fonction a priori implémentée pour tenter de garder le contrôle de la cyberattaque. Les hackers ayant compris que leur astuce avait été déjouée, ils ont alors utilisé un second nom de domaine. Rebelote : il est aussitôt acheté par les chercheurs. Les attaquants ont alors élaboré une troisième version en enlevant le kill switch. Coup de chance, cette nouvelle mouture de WanaCrypt s’avère défectueuse.

27 juin 2017 :  NotPetya/ExPetr

Nous avons vu que WanaCrypt s’appuyait sur l’exploit Eternal Blue de Windows. NotPetya a fait de même, en plus de passer par un autre exploit : Eternal Romance. Tous deux sont issus du vol de documents à la NSA par le groupe The Shadow Brokers, dont nous avons appris l’existence en 2016. Alors que Wanacrypt s’est déployé avec un effet boule de neige, la propagation de NotPetya/ExPetr fut plus lente. En fait, elle est survenue via le hacking d’un logiciel ukrainien de comptabilité baptisé « MeDoc ». Les pirates auraient utilisé la fonctionnalité de mise à jour automatique pour diffuser le malware/ransomware sur tous les postes utilisant ledit logiciel. C’est donc le mode de propagation de NotPetya qui diffère : il disposait de trois vecteurs de propagation, dont le premier via le protocole SMB de Windows mais sur un réseau local. Le malware vérifiait la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au malware de voler les mots de passe locaux, soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l’API CredEnumerateW. Il disposait de plusieurs capacités pour se propager sur le réseau : • en utilisant les identifiants récupérés sur la machine ;
• en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).

Après propagation, le malware force un redémarrage de la machine via une tâche planifiée. Un message est alors affiché indiquant qu’une vérification de l’intégrité des disques est en cours. Le rançongiciel serait en fait en train de chiffrer la Master File Table (MFT). Cela rend inaccessibles les fichiers présents sur la machine. Enfin, le malware s’installe à la place du secteur de démarrage de Windows afin d’afficher le message de rançon.

Le deuxième vecteur est un exploit modifié EternalBlue visant le service Windows SMBv1, aussi utilisé par WannaCry et les vulnérabilités Microsoft CVE-20170146 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-2017-0147 (Windows SMB Information Disclosure Vulnerability), Microsoft CVE-2017-0143 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE2017-0145 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-2017-0148 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-20170144 (Windows SMB Remote Code Execution Vulnerability).

Enfin, le troisième vecteur est un exploit Eternel Romance 1.3.0, un code d’exécution ciblant les OS Windows XP, 2003, Vista, 7, 8, Windows 2008 et 2008 R2 sur le port 445 (bulletin de sécurité et patch Microsoft MS17-010). D’où la propagation très rapide à travers les réseaux sur des organisations comme Auchan, SNCF, Saint-Gobain ou le géant publicitaire WPP, en ce qui concerne uniquement la France.

NotPetya :  plutôt un wiper ?

Après l’avènement de NotPetya, la communauté mondiale de la cybersécurité s’est rapidement mise en marche. Deux jours plus tard, le 29 juin, l’éditeur Kaspersky explique que le malware n’est peut-être pas ce que l’on croit. Ce ne serait pas un ransomware, mais un « wiper ». En d’autres termes, le malware aurait cherché à se faire passer pour ce qu’il n’était pas avec un but précis : détruire de la donnée, et accessoirement brouiller les pistes.

C’est le chercheur Matthieu Suiche qui a pointé une différence majeure entre le ransomware Petya de 2016 et le NotPetya de 2017. Si le premier modifiait le disque de manière à pouvoir chiffrer et déchiffrer les données, le second va écraser un certain nombre de blocs sectoriels du disque. Toutefois ces blocs sont généralement inutilisés sur la plupart des machines. Une autre expertise va dans le sens de la théorie « wiper ». Au début de l’attaque, l’adresse mail utilisée par les attaquants avait été bloquée dans les premières heures de la propagation du ransomware, sans que cela semble grandement le perturber. Normal, répondait Kaspersky, quand bien même ils auraient obtenu moult rançons, les auteurs de NotPetya auraient été bien incapables de fournir une clé de déchiffrement. L’identifiant d’installation, indispensable à l’obtention de la clé, n’est en fait, selon l’éditeur russe, qu’un amas de caractères généré aléatoirement, d’où il est impossible de retirer la moindre information permettant de déchiffrer le disque. « Ce que cela signifie ? D’une part, même si la victime paie, elle ne récupérera pas ses données. Deuxièmement, cela renforce la théorie selon laquelle le principal objectif d’ExPetr n’était pas financier, mais bien destructeur. »

Protection : ce qu’en disent les experts

Ce que l’on a vu ces derniers mois avec WanaCrypt, NotPetya ou même Adylkuzz nous apprend beaucoup de choses et notamment que nous ne sommes pas à l’abri de menaces inconnues qui peuvent frapper les machines. Comment alors se protéger de la manière la plus efficace possible ?

Tous les éditeurs vous diront qu’ils ont les meilleures solutions. Mais l’important est plutôt d’anticiper. Lors d’un webinaire organisé par notre magazine début juillet, le chercheur Renaud Lifchitz, chez Digital Security, estimait par exemple que des attaques via les systèmes de mises à jour vont se multiplier, sur WSUS (Windows Server Update Services) par exemple, en substituant une mise à jour par une autre « notamment dans des intranets avec des attaques type Man in the Middle ». « Il faut penser en termes de cyber-résilience plutôt qu’en termes de cybersécurité », expliquait pour sa part Laurent Heslault, chez Symantec. Et donc en partant du principe que de nouvelles attaques vont arriver. « La notion de correctifs est essentielle, mais ce n’est qu’un des éléments de la chaîne », ajoute-t-il. « Nous sommes en général toujours en retard par rapport aux cyber-attaquants », expliquait pour sa part Nicolas Sterckmans, chez MalwareBytes. Pour Renaud Lifchitz, l’un des premiers éléments de réponse réside dans l’administration des systèmes, par exemple éviter les super-administrateurs et les remplacer par des administrateurs en fonction des zones du réseau. Le cloisonnement des réseaux est aussi un sujet primordial, notamment pour des systèmes anciens que l’on sait plus faibles. La virtualisation peut aussi être une réponse pour cette vision de la résilience.  Parallèlement, les techniques des éditeurs évoluent et l’intelligence artificielle prend une place considérable dans le monde de la cybersécurité. « Chez MalwareBytes, nous travaillons avec l’IA sur l’analyse de la chaîne d’attaque afin de l’interrompre, au lieu de travailler sur la menace en elle-même », explique Nicolas Sterckmans. En matière de techniques d’avenir, le chiffrement « full homomorphe » est « un processus encore lourd à mettre en place, des solutions intermédiaires existent mais manquent de scalabilité », analyse Renaud Lifchitz. Quoi qu’il en soit, tous s’accordent pour dire que les scénarios de risque existent et continueront à exister. Mais peut-être que la philosophie sécuritaire des entreprises, aidée par un appui des directions générales en pleine prise de conscience, doit, elle aussi, sortir de sa zone de confort.


BITDEFENDER CIBLE LES MÉTHODES PLUTÔT QUE LES MALWARES

La protection du système d’information passe par la sécurisation des postes mais aussi du système dans son intégralité. C’est pour répondre à cette problématique que l’éditeur BitDefender a récemment dévoilé une nouvelle solution baptisée Hypervisor Introspection (HVI), ou l’Introspection de la mémoire depuis l’hyperviseur. « Cette solution n’est pas intégrée directement dans un OS, mais son module est installé dans l’hyperviseur, dans la couche basse, matérielle » , nous explique Vincent Meysonnet, directeur technique avant-vente de l’éditeur. Elle fonctionne donc dans la mémoire RAM, ce qui lui confère aussi un accès prioritaire avec plus de privilèges, et lui permet de pouvoir isoler la solution de sécurité. Compatible pour le moment uniquement avec Xen Server 7 de Citrix, HVI fonctionne d’abord de manière comportementale, et « ne se concentre pas sur le malware mais bien sur la technique d’attaque, comme un dépassement de mémoire par exemple » . La solution fait aussi de la corrélation d’événements, et s’appuie sur les remontées des 500 millions d’utilisateurs qui utilisent le moteur BitDefender dans le monde. « Avec plus de 3 000 malwares créés toutes les 10 minutes dans le monde, on ne peut plus faire la course avec les hackers. En revanche, les tech niques d’attaque sont toujours les mêmes », et c’est sur ce point que se focalise donc la solution.


NotPetya : D’ORIGINE RUSSE ?

Début juillet, l’éditeur ESET attribuait la cyberattaque NotPetya au groupe TeleBots. Mandatée par les forces de l’ordre dans leur enquête forensic sur les machines physiques et les données affectées par la cyberattaque, l’entreprise FireEye dispose de données intéressantes pour éclairer cette affaire. « Il est important que nous en apprenions autant qu’il est possible sur cette attaque afin de nous assurer que leurs auteurs sont poursuivis en conséquence. Nous avons demandé à FireEye de nous assister dans cette enquête en raison de son savoirfaire reconnu dans le domaine des enquêtes criminelles et des évaluations de renseignements » , a indiqué Sergey Demediuk, chef du département de Cyber Police, police nationale d’Ukraine. De son côté, FireEye explique : « Notre analyse initiale d’EternalPetya a trouvé de nombreuses similitudes avec des cyber attaques menées par le Sandworm Team, un groupe basé en Russie. Le Sandworm Team a déjà ciblé l’Ukraine par le passé, plus particulièrement en décembre 2015 puis de nouveau en décembre 2016 lorsqu’il a provoqué les seules coupures de courant électrique attribuées à une cyberattaque. Nous pensons que ce groupe est sponsorisé par le gouvernement russe. »


La chronologie des attaques Petya.

(cliquez pour agrandir et parcourir)

Petya

4352

x
Rechercher dans les dossiers

Actuellement à la Une...
Le gouvernement parviendra-t-il à unir sous une même bannière les telcos malgré les inimitiés entre les acteurs de ce marché ultra-concurrentiel ? Le comité de filière stratégique, qui s’appuiera sur les fédérations en place, devrait être signé mercredi prochain.

Les fonds Elliott Management et Francisco Partners se seraient associés afin de mettre la main sur le fournisseur de logiciels d’acc&egra...

Le patron de Twitter milite en faveur d’un protocole ouvert et décentralisé pour les réseaux sociaux, afin de faciliter la lutte contre la désinformation et le harcèlement, ainsi que le développement d’algorithmes de recommandations.

Après le rachat de la branche entreprise de Symantec par Broadcom, trois acquéreurs se sont manifestés pour mettre la main sur ses activités grand public, rebaptisées Norton LifeLock. McAfee fait partie des acheteurs potentiels.

Alors que l’opérateur bénéficie d’un sursis, Infranum a pris position en faveur du maintien d’un acteur op&eacu...

Preuve s’il en est du dynamisme de la filière cybersécurité en France, c’est une cinquantaine de candidatures que le jury chargé de décerner le prix Startup du FIC ont dû départager. La messagerie instantanée Olvid a remporté le trophée.

Disponible depuis quelques semaines pour les internautes américains, le nouvel algorithme doit rendre plus efficaces les recherches complexes ou exprimées en langage quasi naturel associant de nombreux mots avec des prépositions.

C’est la fin de l’application de gestion de tâches, rachetée en 2015 puis dépecée par Microsoft. Elle est remplacée par To Do, l’application maison de Redmond vers laquelle se sont reportées la majeure partie des fonctionnalités de Wunderlist.

Surfant sur la maturité du multicloud, le spécialiste français des interconnexions cloud annonce avoir réuni 22 millions d’euros auprès de ses investisseurs historiques et de nouveaux entrants au capital, dont Orange Digital Ventures. Cette somme permettra à Intercloud de se renforcer en Europe.

La Cnil vient de mettre en demeure une entreprise de la région toulousaine qui abusait un peu trop de la vidéosurveillance dans ses locaux, surtout à des fins de localisation de ses salariés, le tout accompagné d’un défaut d’information et de sécurisation.

Toutes les News
LIVRES BLANCS
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs