X
Emilien Ercolani / jeudi 26 octobre 2017 / Thèmes: Sécurité SI, Dossier

NotPetya / ExPetr, l'enquête

Retour sur une attaque informatique qui change le monde

Parce qu’elle a pris racines il y a une quinzaine d’années et à cause de son mode opératoire, de sa préparation et du but final de ses auteurs hors du commun, l’attaque NotPetya/ExPetr est en soi une offensive que nous n’avions encore jamais vue. Le temps est venu de l’analyse, tout comme celui de la manière de se préparer à ce que nous réserve l’avenir en matière de défense et de cybersécurité.

Saviez-vous qu’environ 90 % des échanges de marchandises dans le monde sont réalisés par bateau ? Alors, le mardi 27 juin, quand le monde a appris que les systèmes informatiques de la plus grande entreprise danoise, Maersk Line, le grand armateur qui emploie plus de 100 000 personnes, avaient été touchés par un malware inconnu, le monde maritime a légèrement tangué. L’entreprise représente à elle seule 18 % du transport de containers. Dans le milieu, les systèmes de communication sont critiques afin d’organiser les opérations quotidiennes des navires et un simple incident peut avoir de grandes conséquences. Lorsque les systèmes de communication des ports aux États-Unis, en Espagne, en Inde ou aux Pays-Bas ne répondent plus, c’est la panique à bord. Au South Florida Container Terminal, près de Miami, plusieurs cargos sont coincés et les containers ne peuvent être débarqués. En Inde, le port Jawaharlal Nehru, situé près de Mumbai et Bombay, les opérations sont là aussi perturbées. « Nous sommes dans l’attente, sans savoir quand tout va revenir à la normale », expliquera ainsi Anil Diggikar, le directeur du port. Il se contente de se faire l’écho de Maersk Line, dont le personnel informatique est en pleine effervescence. L’impact de l’attaque qui vient de se produire a des répercussions sur l’ensemble de l’industrie maritime, ainsi que dans les 76 ports dont l’entreprise danoise a la gérance via sa division APM Terminal.

En mars 2016, le ransomware Petya touche des milliers de machines dans le monde.

Mars 2016 : Petya

Les équipes informatiques de Maersk Line ne le savent pas encore, mais elles viennent d’être victimes d’un malware qui va faire beaucoup de bruit. Elles ignorent aussi qu’il leur faudra plusieurs semaines pour tout remettre en ordre. Le 20 juillet, soit presque un mois plus tard, l’armateur explique que si les systèmes de communication ont bel et bien été touchés, il n’a en revanche constaté « aucune faille ni perte de données d’une tierce partie », notamment parce que le malware « n’a pas pu se répandre entre différents réseaux ». Mais pourquoi une telle entreprise a-t-elle été victime de cette cyberattaque ? La défense est bancale : ni les patchs de Microsoft, ni les logiciels antivirus n’auraient pu garantir une protection totale, et malgré ses défenses informatiques, le ver a été introduit dans la pomme. C’est une étrange réaction, qui cache peut-être des négligences dont a fait preuve Maersk Line.

Toujours est-il que le 27 juin, les équipes informatiques pensent, comme beaucoup d’autres à ce moment, avoir été touchées par le ransomware Petya. Apparu en mars 2016, il est à lui seul presque un nouveau genre et fait déjà trembler à l’époque, alors que le monde de l’informatique se remettait à peine de Locky. Il fait ses premières apparitions en Allemagne notamment, en se propageant par phishing, proposant des liens dans les e-mails sensés rediriger vers un téléchargement sur Dropbox. L’originalité de Petya, à l’époque, était que le ransomware ne se contentait pas de chiffrer les fichiers du disque comme le faisaient « traditionnellement » les autres. Il chiffrait également et surtout la MFT (Master File Table), pour Table de fichiers principale, avec un système étrangement basique puisqu’il s’agit du cryptage XOR. Une fois introduit dans la machine, Petya continuait en remplaçant la MBR (Master Boot Record), la zone d’amorce, qui est par exemple pour les PC à architecture Intel le premier secteur adressable d’un disque dur. S’ensuivait un redémarrage forcé de Windows. Vous connaissez la suite puisqu’elle ressemble à un écran rouge, une tête de mort et une demande de rançon ! En l’occurrence environ 400 dollars à payer en bitcoins.

12 mai 2017 : WanaCrypt

Les équipes informatiques de Maersk Line comprendront rapidement que ce n’est pas Petya qui les a frappées, mais une « variante » bien plus évoluée que l’on a rapidement nommée NotPetya. Effectivement, après avoir cru au début que c’était Petya, les chercheurs et la communauté mondiale se sont rapidement unis autour du nom NotPetya pour définir le malware ; sans pour autant savoir quel était son but ou son fonctionnement exact. Mais pour comprendre justement comment fonctionne le malware, il faut regarder ce qu’il s’est passé ces dernières années. Et le premier élément de réponse est récent puisqu’il s’agit d’un autre malware qui a beaucoup fait couler d’encre : WanaCrypt.

Plus de 300 000 utilisateurs avaient été sa victime, principalement dans les entreprises. L’attaque avait été très remarquée car elle fut la première cyberattaque par ransomwares. En juin, dans L’Informaticien n°158, nous expliquions déjà que ce n’était que la première d’une longue série. WanaCrypt touchait les OS Windows via une faille baptisée Eternal Blue qui était pourtant patchée par Microsoft depuis mars dernier (bulletin de sécurité MS17-010) ; toutes les versions (Vista, 7, 8, 8.1, y compris Windows XP) en plus de Windows Server 2008/2008 R2/2012/2012 R2/2016 étaient concernées. En France, plusieurs entreprises ont été affectées, notamment Renault dont la quasi-totalité des usines a été touchée. L’exploit Eternal Blue a toute son importance car il est issu de documents volés à la NSA par le désormais célèbre groupe The Shadow Brokers. « Nous avons vu des failles gardées par la CIA apparaître sur WikiLeaks, et maintenant cette faille volée à la NSA a affecté des clients autour du monde », expliquait alors Brad Smith, président de Microsoft.

Si de nombreuses entreprises ont été victimes de WanaCrypt, c’est parce qu’un grand nombre d’entre elles n’a pas appliqué le patch MS17010. La cyberattaque aura eu le mérite d’en faire réagir quelques-unes, bien que la communauté mondiale de la cybersécurité s’activant, les dégâts furent alors très limités par rapport au potentiel initial. En effet, après rapide analyse, le chercheur dont le pseudonyme est MalwareTech remarque que le programme envoie une requête HTTP à un nom de domaine long et complexe, mais non enregistré, qu’il achète immédiatement. C’est à ce moment-là que la propagation du ransomware s’arrête, alors que les serveurs du nom de domaine étaient dangereusement surchargés de requêtes. C’est ce qu’on a appelé le kill switch ; une fonction a priori implémentée pour tenter de garder le contrôle de la cyberattaque. Les hackers ayant compris que leur astuce avait été déjouée, ils ont alors utilisé un second nom de domaine. Rebelote : il est aussitôt acheté par les chercheurs. Les attaquants ont alors élaboré une troisième version en enlevant le kill switch. Coup de chance, cette nouvelle mouture de WanaCrypt s’avère défectueuse.

27 juin 2017 :  NotPetya/ExPetr

Nous avons vu que WanaCrypt s’appuyait sur l’exploit Eternal Blue de Windows. NotPetya a fait de même, en plus de passer par un autre exploit : Eternal Romance. Tous deux sont issus du vol de documents à la NSA par le groupe The Shadow Brokers, dont nous avons appris l’existence en 2016. Alors que Wanacrypt s’est déployé avec un effet boule de neige, la propagation de NotPetya/ExPetr fut plus lente. En fait, elle est survenue via le hacking d’un logiciel ukrainien de comptabilité baptisé « MeDoc ». Les pirates auraient utilisé la fonctionnalité de mise à jour automatique pour diffuser le malware/ransomware sur tous les postes utilisant ledit logiciel. C’est donc le mode de propagation de NotPetya qui diffère : il disposait de trois vecteurs de propagation, dont le premier via le protocole SMB de Windows mais sur un réseau local. Le malware vérifiait la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au malware de voler les mots de passe locaux, soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l’API CredEnumerateW. Il disposait de plusieurs capacités pour se propager sur le réseau : • en utilisant les identifiants récupérés sur la machine ;
• en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).

Après propagation, le malware force un redémarrage de la machine via une tâche planifiée. Un message est alors affiché indiquant qu’une vérification de l’intégrité des disques est en cours. Le rançongiciel serait en fait en train de chiffrer la Master File Table (MFT). Cela rend inaccessibles les fichiers présents sur la machine. Enfin, le malware s’installe à la place du secteur de démarrage de Windows afin d’afficher le message de rançon.

Le deuxième vecteur est un exploit modifié EternalBlue visant le service Windows SMBv1, aussi utilisé par WannaCry et les vulnérabilités Microsoft CVE-20170146 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-2017-0147 (Windows SMB Information Disclosure Vulnerability), Microsoft CVE-2017-0143 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE2017-0145 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-2017-0148 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-20170144 (Windows SMB Remote Code Execution Vulnerability).

Enfin, le troisième vecteur est un exploit Eternel Romance 1.3.0, un code d’exécution ciblant les OS Windows XP, 2003, Vista, 7, 8, Windows 2008 et 2008 R2 sur le port 445 (bulletin de sécurité et patch Microsoft MS17-010). D’où la propagation très rapide à travers les réseaux sur des organisations comme Auchan, SNCF, Saint-Gobain ou le géant publicitaire WPP, en ce qui concerne uniquement la France.

NotPetya :  plutôt un wiper ?

Après l’avènement de NotPetya, la communauté mondiale de la cybersécurité s’est rapidement mise en marche. Deux jours plus tard, le 29 juin, l’éditeur Kaspersky explique que le malware n’est peut-être pas ce que l’on croit. Ce ne serait pas un ransomware, mais un « wiper ». En d’autres termes, le malware aurait cherché à se faire passer pour ce qu’il n’était pas avec un but précis : détruire de la donnée, et accessoirement brouiller les pistes.

C’est le chercheur Matthieu Suiche qui a pointé une différence majeure entre le ransomware Petya de 2016 et le NotPetya de 2017. Si le premier modifiait le disque de manière à pouvoir chiffrer et déchiffrer les données, le second va écraser un certain nombre de blocs sectoriels du disque. Toutefois ces blocs sont généralement inutilisés sur la plupart des machines. Une autre expertise va dans le sens de la théorie « wiper ». Au début de l’attaque, l’adresse mail utilisée par les attaquants avait été bloquée dans les premières heures de la propagation du ransomware, sans que cela semble grandement le perturber. Normal, répondait Kaspersky, quand bien même ils auraient obtenu moult rançons, les auteurs de NotPetya auraient été bien incapables de fournir une clé de déchiffrement. L’identifiant d’installation, indispensable à l’obtention de la clé, n’est en fait, selon l’éditeur russe, qu’un amas de caractères généré aléatoirement, d’où il est impossible de retirer la moindre information permettant de déchiffrer le disque. « Ce que cela signifie ? D’une part, même si la victime paie, elle ne récupérera pas ses données. Deuxièmement, cela renforce la théorie selon laquelle le principal objectif d’ExPetr n’était pas financier, mais bien destructeur. »

Protection : ce qu’en disent les experts

Ce que l’on a vu ces derniers mois avec WanaCrypt, NotPetya ou même Adylkuzz nous apprend beaucoup de choses et notamment que nous ne sommes pas à l’abri de menaces inconnues qui peuvent frapper les machines. Comment alors se protéger de la manière la plus efficace possible ?

Tous les éditeurs vous diront qu’ils ont les meilleures solutions. Mais l’important est plutôt d’anticiper. Lors d’un webinaire organisé par notre magazine début juillet, le chercheur Renaud Lifchitz, chez Digital Security, estimait par exemple que des attaques via les systèmes de mises à jour vont se multiplier, sur WSUS (Windows Server Update Services) par exemple, en substituant une mise à jour par une autre « notamment dans des intranets avec des attaques type Man in the Middle ». « Il faut penser en termes de cyber-résilience plutôt qu’en termes de cybersécurité », expliquait pour sa part Laurent Heslault, chez Symantec. Et donc en partant du principe que de nouvelles attaques vont arriver. « La notion de correctifs est essentielle, mais ce n’est qu’un des éléments de la chaîne », ajoute-t-il. « Nous sommes en général toujours en retard par rapport aux cyber-attaquants », expliquait pour sa part Nicolas Sterckmans, chez MalwareBytes. Pour Renaud Lifchitz, l’un des premiers éléments de réponse réside dans l’administration des systèmes, par exemple éviter les super-administrateurs et les remplacer par des administrateurs en fonction des zones du réseau. Le cloisonnement des réseaux est aussi un sujet primordial, notamment pour des systèmes anciens que l’on sait plus faibles. La virtualisation peut aussi être une réponse pour cette vision de la résilience.  Parallèlement, les techniques des éditeurs évoluent et l’intelligence artificielle prend une place considérable dans le monde de la cybersécurité. « Chez MalwareBytes, nous travaillons avec l’IA sur l’analyse de la chaîne d’attaque afin de l’interrompre, au lieu de travailler sur la menace en elle-même », explique Nicolas Sterckmans. En matière de techniques d’avenir, le chiffrement « full homomorphe » est « un processus encore lourd à mettre en place, des solutions intermédiaires existent mais manquent de scalabilité », analyse Renaud Lifchitz. Quoi qu’il en soit, tous s’accordent pour dire que les scénarios de risque existent et continueront à exister. Mais peut-être que la philosophie sécuritaire des entreprises, aidée par un appui des directions générales en pleine prise de conscience, doit, elle aussi, sortir de sa zone de confort.


BITDEFENDER CIBLE LES MÉTHODES PLUTÔT QUE LES MALWARES

La protection du système d’information passe par la sécurisation des postes mais aussi du système dans son intégralité. C’est pour répondre à cette problématique que l’éditeur BitDefender a récemment dévoilé une nouvelle solution baptisée Hypervisor Introspection (HVI), ou l’Introspection de la mémoire depuis l’hyperviseur. « Cette solution n’est pas intégrée directement dans un OS, mais son module est installé dans l’hyperviseur, dans la couche basse, matérielle » , nous explique Vincent Meysonnet, directeur technique avant-vente de l’éditeur. Elle fonctionne donc dans la mémoire RAM, ce qui lui confère aussi un accès prioritaire avec plus de privilèges, et lui permet de pouvoir isoler la solution de sécurité. Compatible pour le moment uniquement avec Xen Server 7 de Citrix, HVI fonctionne d’abord de manière comportementale, et « ne se concentre pas sur le malware mais bien sur la technique d’attaque, comme un dépassement de mémoire par exemple » . La solution fait aussi de la corrélation d’événements, et s’appuie sur les remontées des 500 millions d’utilisateurs qui utilisent le moteur BitDefender dans le monde. « Avec plus de 3 000 malwares créés toutes les 10 minutes dans le monde, on ne peut plus faire la course avec les hackers. En revanche, les tech niques d’attaque sont toujours les mêmes », et c’est sur ce point que se focalise donc la solution.


NotPetya : D’ORIGINE RUSSE ?

Début juillet, l’éditeur ESET attribuait la cyberattaque NotPetya au groupe TeleBots. Mandatée par les forces de l’ordre dans leur enquête forensic sur les machines physiques et les données affectées par la cyberattaque, l’entreprise FireEye dispose de données intéressantes pour éclairer cette affaire. « Il est important que nous en apprenions autant qu’il est possible sur cette attaque afin de nous assurer que leurs auteurs sont poursuivis en conséquence. Nous avons demandé à FireEye de nous assister dans cette enquête en raison de son savoirfaire reconnu dans le domaine des enquêtes criminelles et des évaluations de renseignements » , a indiqué Sergey Demediuk, chef du département de Cyber Police, police nationale d’Ukraine. De son côté, FireEye explique : « Notre analyse initiale d’EternalPetya a trouvé de nombreuses similitudes avec des cyber attaques menées par le Sandworm Team, un groupe basé en Russie. Le Sandworm Team a déjà ciblé l’Ukraine par le passé, plus particulièrement en décembre 2015 puis de nouveau en décembre 2016 lorsqu’il a provoqué les seules coupures de courant électrique attribuées à une cyberattaque. Nous pensons que ce groupe est sponsorisé par le gouvernement russe. »


La chronologie des attaques Petya.

(cliquez pour agrandir et parcourir)

Petya

Print
2755

Name:
Email:
Subject:
Message:
x
Rechercher dans les Dossiers
Actuellement à la Une...
Le patron d’Orange n’y va pas par quatre chemins : la neutralité du net est à ses yeux un frein empêchant la mise en place d’infrastructures spécifiques aux « usages futurs d’Internet » tels que l’IoT ou l’automobile connectée. Ceux-ci nécessitent de « proposer des fonctionnalités, des puissances et des qualités de service différentes ». Il est donc urgent qu’on « laisse faire les opérateurs », considère Stéphane Richard.

Des contrats d’un mois sur le bitcoin, pour être tout à fait exact. Ce nouveau produit financier a été lancé dimanche par le Chicago Board Options Exchange. Le contrat a été marqué par une forte volatilité, obligeant la place de marché à stopper à deux reprises les échanges.

Après des années de relation compliquée, DRH et DSI auraient trouvé le chemin de la paix et de la collaboration. Les projets de transformation numérique rendent leur coopération incontournable et les solutions RH en mode SaaS ont simplifié la relation. Mais il reste encore beaucoup à faire. Article paru dans L'Informaticien n°162.

Le célèbre service de reconnaissance musicale pourrait prochainement tomber dans le giron d’Apple, qui en profitera pour renforcer ses propres services, Apple Music en tête. Mais alors que Shazam faisait partie des licornes, la marque à la pomme ne propose que 400 millions de dollars.

IXSystems est un des derniers constructeurs de hardware aux USA. Depuis ses débuts dans les années 90, l’entreprise mise sur l’Open Source. Elle propose des serveurs et des solutions de stockage s’appuyant sur des logiciels Open Source comme FreeNAS ou TrueNAS.

L’Australian Securities Exchange a annoncé faire le choix de la blockchain pour sa future solution de gestion des opérations financières. Le nouveau système permettra principalement de réduire les coûts de transactions et de simplifier celles-ci. Son déploiement ne devrait pas être amorcé avant mi-2018.

Les deux géants de la musique en ligne viennent d’annoncer un échange de participation croisée, chacun entrant au capital de l’autre. Un pas de plus vers l’introduction de Spotify en bourse : adossée au tout-puissant Tencent, cette alliance est de nature à rassurer les investisseurs.

Donnez un peu de votre intelligence à la mission sur l’intelligence artificielle ! Mercredi, Cédric Villani a officiellement lancé la plateforme destinée à recueillir les idées et opinions des citoyens sur l’IA. La consultation se terminera le 6 janvier et aboutira à un rapport final remis fin janvier.

Facebook Workplace a su profiter de sa ressemblance avec le Facebook classique pour attirer les entreprises : son interface ne risquait pas de perturber des salariés déjà habitués au réseau social. Le RSE compte déjà 14 000 entreprises utilisatrices. En France, Raja et Century 21 ont fait partie des bêta-testeurs : ils nous narrent leur expérience. Article paru dans L'Informaticien n°162.

La Commission a répondu au projet de règlementation du marché de la fibre préparé par l’Arcep. L’instance européenne se dit inquiète de la position dominante d’Orange sur le FTTH et souligne que les engagements pris par l’opérateur devant l’Arcep ne sont pas suffisants.

Toutes les News

LIVRES BLANCS

"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


La maintenance prédictive, pilier de la transformation digitale, un Livre Blanc Econocom.

LA MAINTENANCE IT, L’INVISIBLE PIERRE ANGULAIRE DE L’ENTREPRISE DIGITALE

La transformation digitale rebat les cartes de la performance des entreprises. Face à l’évolution simultanée des attentes des clients, des modèles économiques, des conditions de marché et des modes de travail, chaque métier doit revoir sa contribution aux trois axes qui conditionnent dorénavant la réussite: l’excellence opérationnelle, l’expérience utilisateurs et l’innovation métier.


CARTOGRAPHIE DU PAYSAGE DES RANSOMWARES, un Livre Blanc Fortinet.

Comprendre la portée et la sophistication de la menace.

Lorsque les cybermenaces sont multipliées par 35 en un an, chaque entreprise doit en tenir compte. C’est précisément le cas avec les ransomwares. Les hacktivistes ont ciblé des entreprises de pratiquement toutes les tailles et représentant une multitude de secteurs industriels dans le monde entier.


Comment moderniser ses centres de données, un Livre Blanc HPE.

La transformation numérique des entreprises crée de nouvelles contraintes sur les directions informatiques, en particulier pour les environnements de stockage. 

La croissance exponentielle des données, la virtualisation massive, l'évolution des charges de travail et la mise en place permanente de nouvelles applications (devops) obligent l'infrastructure de stockage informatique à évoluer. 


Repensez votre approche en matière de cybersécurité, un Livre Blanc Fortinet.

Pourquoi les leaders de la sécurité sont désormais contraints de faire face aux principales menaces de sécurité. 

Le paysage de cybermenace continue de croître et d’évoluer. Cybersecurity Ventures prévoit que la cybersécurité deviendra un business de mille milliards de dollars entre 2017 et 2021.


Tous les Livres Blancs