X
Emilien Ercolani / jeudi 26 octobre 2017 / Thèmes: Sécurité SI, Dossier

NotPetya / ExPetr, l'enquête

Retour sur une attaque informatique qui change le monde

Parce qu’elle a pris racines il y a une quinzaine d’années et à cause de son mode opératoire, de sa préparation et du but final de ses auteurs hors du commun, l’attaque NotPetya/ExPetr est en soi une offensive que nous n’avions encore jamais vue. Le temps est venu de l’analyse, tout comme celui de la manière de se préparer à ce que nous réserve l’avenir en matière de défense et de cybersécurité.

Saviez-vous qu’environ 90 % des échanges de marchandises dans le monde sont réalisés par bateau ? Alors, le mardi 27 juin, quand le monde a appris que les systèmes informatiques de la plus grande entreprise danoise, Maersk Line, le grand armateur qui emploie plus de 100 000 personnes, avaient été touchés par un malware inconnu, le monde maritime a légèrement tangué. L’entreprise représente à elle seule 18 % du transport de containers. Dans le milieu, les systèmes de communication sont critiques afin d’organiser les opérations quotidiennes des navires et un simple incident peut avoir de grandes conséquences. Lorsque les systèmes de communication des ports aux États-Unis, en Espagne, en Inde ou aux Pays-Bas ne répondent plus, c’est la panique à bord. Au South Florida Container Terminal, près de Miami, plusieurs cargos sont coincés et les containers ne peuvent être débarqués. En Inde, le port Jawaharlal Nehru, situé près de Mumbai et Bombay, les opérations sont là aussi perturbées. « Nous sommes dans l’attente, sans savoir quand tout va revenir à la normale », expliquera ainsi Anil Diggikar, le directeur du port. Il se contente de se faire l’écho de Maersk Line, dont le personnel informatique est en pleine effervescence. L’impact de l’attaque qui vient de se produire a des répercussions sur l’ensemble de l’industrie maritime, ainsi que dans les 76 ports dont l’entreprise danoise a la gérance via sa division APM Terminal.

En mars 2016, le ransomware Petya touche des milliers de machines dans le monde.

Mars 2016 : Petya

Les équipes informatiques de Maersk Line ne le savent pas encore, mais elles viennent d’être victimes d’un malware qui va faire beaucoup de bruit. Elles ignorent aussi qu’il leur faudra plusieurs semaines pour tout remettre en ordre. Le 20 juillet, soit presque un mois plus tard, l’armateur explique que si les systèmes de communication ont bel et bien été touchés, il n’a en revanche constaté « aucune faille ni perte de données d’une tierce partie », notamment parce que le malware « n’a pas pu se répandre entre différents réseaux ». Mais pourquoi une telle entreprise a-t-elle été victime de cette cyberattaque ? La défense est bancale : ni les patchs de Microsoft, ni les logiciels antivirus n’auraient pu garantir une protection totale, et malgré ses défenses informatiques, le ver a été introduit dans la pomme. C’est une étrange réaction, qui cache peut-être des négligences dont a fait preuve Maersk Line.

Toujours est-il que le 27 juin, les équipes informatiques pensent, comme beaucoup d’autres à ce moment, avoir été touchées par le ransomware Petya. Apparu en mars 2016, il est à lui seul presque un nouveau genre et fait déjà trembler à l’époque, alors que le monde de l’informatique se remettait à peine de Locky. Il fait ses premières apparitions en Allemagne notamment, en se propageant par phishing, proposant des liens dans les e-mails sensés rediriger vers un téléchargement sur Dropbox. L’originalité de Petya, à l’époque, était que le ransomware ne se contentait pas de chiffrer les fichiers du disque comme le faisaient « traditionnellement » les autres. Il chiffrait également et surtout la MFT (Master File Table), pour Table de fichiers principale, avec un système étrangement basique puisqu’il s’agit du cryptage XOR. Une fois introduit dans la machine, Petya continuait en remplaçant la MBR (Master Boot Record), la zone d’amorce, qui est par exemple pour les PC à architecture Intel le premier secteur adressable d’un disque dur. S’ensuivait un redémarrage forcé de Windows. Vous connaissez la suite puisqu’elle ressemble à un écran rouge, une tête de mort et une demande de rançon ! En l’occurrence environ 400 dollars à payer en bitcoins.

12 mai 2017 : WanaCrypt

Les équipes informatiques de Maersk Line comprendront rapidement que ce n’est pas Petya qui les a frappées, mais une « variante » bien plus évoluée que l’on a rapidement nommée NotPetya. Effectivement, après avoir cru au début que c’était Petya, les chercheurs et la communauté mondiale se sont rapidement unis autour du nom NotPetya pour définir le malware ; sans pour autant savoir quel était son but ou son fonctionnement exact. Mais pour comprendre justement comment fonctionne le malware, il faut regarder ce qu’il s’est passé ces dernières années. Et le premier élément de réponse est récent puisqu’il s’agit d’un autre malware qui a beaucoup fait couler d’encre : WanaCrypt.

Plus de 300 000 utilisateurs avaient été sa victime, principalement dans les entreprises. L’attaque avait été très remarquée car elle fut la première cyberattaque par ransomwares. En juin, dans L’Informaticien n°158, nous expliquions déjà que ce n’était que la première d’une longue série. WanaCrypt touchait les OS Windows via une faille baptisée Eternal Blue qui était pourtant patchée par Microsoft depuis mars dernier (bulletin de sécurité MS17-010) ; toutes les versions (Vista, 7, 8, 8.1, y compris Windows XP) en plus de Windows Server 2008/2008 R2/2012/2012 R2/2016 étaient concernées. En France, plusieurs entreprises ont été affectées, notamment Renault dont la quasi-totalité des usines a été touchée. L’exploit Eternal Blue a toute son importance car il est issu de documents volés à la NSA par le désormais célèbre groupe The Shadow Brokers. « Nous avons vu des failles gardées par la CIA apparaître sur WikiLeaks, et maintenant cette faille volée à la NSA a affecté des clients autour du monde », expliquait alors Brad Smith, président de Microsoft.

Si de nombreuses entreprises ont été victimes de WanaCrypt, c’est parce qu’un grand nombre d’entre elles n’a pas appliqué le patch MS17010. La cyberattaque aura eu le mérite d’en faire réagir quelques-unes, bien que la communauté mondiale de la cybersécurité s’activant, les dégâts furent alors très limités par rapport au potentiel initial. En effet, après rapide analyse, le chercheur dont le pseudonyme est MalwareTech remarque que le programme envoie une requête HTTP à un nom de domaine long et complexe, mais non enregistré, qu’il achète immédiatement. C’est à ce moment-là que la propagation du ransomware s’arrête, alors que les serveurs du nom de domaine étaient dangereusement surchargés de requêtes. C’est ce qu’on a appelé le kill switch ; une fonction a priori implémentée pour tenter de garder le contrôle de la cyberattaque. Les hackers ayant compris que leur astuce avait été déjouée, ils ont alors utilisé un second nom de domaine. Rebelote : il est aussitôt acheté par les chercheurs. Les attaquants ont alors élaboré une troisième version en enlevant le kill switch. Coup de chance, cette nouvelle mouture de WanaCrypt s’avère défectueuse.

27 juin 2017 :  NotPetya/ExPetr

Nous avons vu que WanaCrypt s’appuyait sur l’exploit Eternal Blue de Windows. NotPetya a fait de même, en plus de passer par un autre exploit : Eternal Romance. Tous deux sont issus du vol de documents à la NSA par le groupe The Shadow Brokers, dont nous avons appris l’existence en 2016. Alors que Wanacrypt s’est déployé avec un effet boule de neige, la propagation de NotPetya/ExPetr fut plus lente. En fait, elle est survenue via le hacking d’un logiciel ukrainien de comptabilité baptisé « MeDoc ». Les pirates auraient utilisé la fonctionnalité de mise à jour automatique pour diffuser le malware/ransomware sur tous les postes utilisant ledit logiciel. C’est donc le mode de propagation de NotPetya qui diffère : il disposait de trois vecteurs de propagation, dont le premier via le protocole SMB de Windows mais sur un réseau local. Le malware vérifiait la présence du fichier C:\Windows\perfc avant de continuer son exécution. Des droits élevés permettent au malware de voler les mots de passe locaux, soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l’API CredEnumerateW. Il disposait de plusieurs capacités pour se propager sur le réseau : • en utilisant les identifiants récupérés sur la machine ;
• en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).

Après propagation, le malware force un redémarrage de la machine via une tâche planifiée. Un message est alors affiché indiquant qu’une vérification de l’intégrité des disques est en cours. Le rançongiciel serait en fait en train de chiffrer la Master File Table (MFT). Cela rend inaccessibles les fichiers présents sur la machine. Enfin, le malware s’installe à la place du secteur de démarrage de Windows afin d’afficher le message de rançon.

Le deuxième vecteur est un exploit modifié EternalBlue visant le service Windows SMBv1, aussi utilisé par WannaCry et les vulnérabilités Microsoft CVE-20170146 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-2017-0147 (Windows SMB Information Disclosure Vulnerability), Microsoft CVE-2017-0143 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE2017-0145 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-2017-0148 (Windows SMB Remote Code Execution Vulnerability), Microsoft CVE-20170144 (Windows SMB Remote Code Execution Vulnerability).

Enfin, le troisième vecteur est un exploit Eternel Romance 1.3.0, un code d’exécution ciblant les OS Windows XP, 2003, Vista, 7, 8, Windows 2008 et 2008 R2 sur le port 445 (bulletin de sécurité et patch Microsoft MS17-010). D’où la propagation très rapide à travers les réseaux sur des organisations comme Auchan, SNCF, Saint-Gobain ou le géant publicitaire WPP, en ce qui concerne uniquement la France.

NotPetya :  plutôt un wiper ?

Après l’avènement de NotPetya, la communauté mondiale de la cybersécurité s’est rapidement mise en marche. Deux jours plus tard, le 29 juin, l’éditeur Kaspersky explique que le malware n’est peut-être pas ce que l’on croit. Ce ne serait pas un ransomware, mais un « wiper ». En d’autres termes, le malware aurait cherché à se faire passer pour ce qu’il n’était pas avec un but précis : détruire de la donnée, et accessoirement brouiller les pistes.

C’est le chercheur Matthieu Suiche qui a pointé une différence majeure entre le ransomware Petya de 2016 et le NotPetya de 2017. Si le premier modifiait le disque de manière à pouvoir chiffrer et déchiffrer les données, le second va écraser un certain nombre de blocs sectoriels du disque. Toutefois ces blocs sont généralement inutilisés sur la plupart des machines. Une autre expertise va dans le sens de la théorie « wiper ». Au début de l’attaque, l’adresse mail utilisée par les attaquants avait été bloquée dans les premières heures de la propagation du ransomware, sans que cela semble grandement le perturber. Normal, répondait Kaspersky, quand bien même ils auraient obtenu moult rançons, les auteurs de NotPetya auraient été bien incapables de fournir une clé de déchiffrement. L’identifiant d’installation, indispensable à l’obtention de la clé, n’est en fait, selon l’éditeur russe, qu’un amas de caractères généré aléatoirement, d’où il est impossible de retirer la moindre information permettant de déchiffrer le disque. « Ce que cela signifie ? D’une part, même si la victime paie, elle ne récupérera pas ses données. Deuxièmement, cela renforce la théorie selon laquelle le principal objectif d’ExPetr n’était pas financier, mais bien destructeur. »

Protection : ce qu’en disent les experts

Ce que l’on a vu ces derniers mois avec WanaCrypt, NotPetya ou même Adylkuzz nous apprend beaucoup de choses et notamment que nous ne sommes pas à l’abri de menaces inconnues qui peuvent frapper les machines. Comment alors se protéger de la manière la plus efficace possible ?

Tous les éditeurs vous diront qu’ils ont les meilleures solutions. Mais l’important est plutôt d’anticiper. Lors d’un webinaire organisé par notre magazine début juillet, le chercheur Renaud Lifchitz, chez Digital Security, estimait par exemple que des attaques via les systèmes de mises à jour vont se multiplier, sur WSUS (Windows Server Update Services) par exemple, en substituant une mise à jour par une autre « notamment dans des intranets avec des attaques type Man in the Middle ». « Il faut penser en termes de cyber-résilience plutôt qu’en termes de cybersécurité », expliquait pour sa part Laurent Heslault, chez Symantec. Et donc en partant du principe que de nouvelles attaques vont arriver. « La notion de correctifs est essentielle, mais ce n’est qu’un des éléments de la chaîne », ajoute-t-il. « Nous sommes en général toujours en retard par rapport aux cyber-attaquants », expliquait pour sa part Nicolas Sterckmans, chez MalwareBytes. Pour Renaud Lifchitz, l’un des premiers éléments de réponse réside dans l’administration des systèmes, par exemple éviter les super-administrateurs et les remplacer par des administrateurs en fonction des zones du réseau. Le cloisonnement des réseaux est aussi un sujet primordial, notamment pour des systèmes anciens que l’on sait plus faibles. La virtualisation peut aussi être une réponse pour cette vision de la résilience.  Parallèlement, les techniques des éditeurs évoluent et l’intelligence artificielle prend une place considérable dans le monde de la cybersécurité. « Chez MalwareBytes, nous travaillons avec l’IA sur l’analyse de la chaîne d’attaque afin de l’interrompre, au lieu de travailler sur la menace en elle-même », explique Nicolas Sterckmans. En matière de techniques d’avenir, le chiffrement « full homomorphe » est « un processus encore lourd à mettre en place, des solutions intermédiaires existent mais manquent de scalabilité », analyse Renaud Lifchitz. Quoi qu’il en soit, tous s’accordent pour dire que les scénarios de risque existent et continueront à exister. Mais peut-être que la philosophie sécuritaire des entreprises, aidée par un appui des directions générales en pleine prise de conscience, doit, elle aussi, sortir de sa zone de confort.


BITDEFENDER CIBLE LES MÉTHODES PLUTÔT QUE LES MALWARES

La protection du système d’information passe par la sécurisation des postes mais aussi du système dans son intégralité. C’est pour répondre à cette problématique que l’éditeur BitDefender a récemment dévoilé une nouvelle solution baptisée Hypervisor Introspection (HVI), ou l’Introspection de la mémoire depuis l’hyperviseur. « Cette solution n’est pas intégrée directement dans un OS, mais son module est installé dans l’hyperviseur, dans la couche basse, matérielle » , nous explique Vincent Meysonnet, directeur technique avant-vente de l’éditeur. Elle fonctionne donc dans la mémoire RAM, ce qui lui confère aussi un accès prioritaire avec plus de privilèges, et lui permet de pouvoir isoler la solution de sécurité. Compatible pour le moment uniquement avec Xen Server 7 de Citrix, HVI fonctionne d’abord de manière comportementale, et « ne se concentre pas sur le malware mais bien sur la technique d’attaque, comme un dépassement de mémoire par exemple » . La solution fait aussi de la corrélation d’événements, et s’appuie sur les remontées des 500 millions d’utilisateurs qui utilisent le moteur BitDefender dans le monde. « Avec plus de 3 000 malwares créés toutes les 10 minutes dans le monde, on ne peut plus faire la course avec les hackers. En revanche, les tech niques d’attaque sont toujours les mêmes », et c’est sur ce point que se focalise donc la solution.


NotPetya : D’ORIGINE RUSSE ?

Début juillet, l’éditeur ESET attribuait la cyberattaque NotPetya au groupe TeleBots. Mandatée par les forces de l’ordre dans leur enquête forensic sur les machines physiques et les données affectées par la cyberattaque, l’entreprise FireEye dispose de données intéressantes pour éclairer cette affaire. « Il est important que nous en apprenions autant qu’il est possible sur cette attaque afin de nous assurer que leurs auteurs sont poursuivis en conséquence. Nous avons demandé à FireEye de nous assister dans cette enquête en raison de son savoirfaire reconnu dans le domaine des enquêtes criminelles et des évaluations de renseignements » , a indiqué Sergey Demediuk, chef du département de Cyber Police, police nationale d’Ukraine. De son côté, FireEye explique : « Notre analyse initiale d’EternalPetya a trouvé de nombreuses similitudes avec des cyber attaques menées par le Sandworm Team, un groupe basé en Russie. Le Sandworm Team a déjà ciblé l’Ukraine par le passé, plus particulièrement en décembre 2015 puis de nouveau en décembre 2016 lorsqu’il a provoqué les seules coupures de courant électrique attribuées à une cyberattaque. Nous pensons que ce groupe est sponsorisé par le gouvernement russe. »


La chronologie des attaques Petya.

(cliquez pour agrandir et parcourir)

Petya

Print
3234

Name:
Email:
Subject:
Message:
x
Rechercher dans les dossiers
Actuellement à la Une...
Le Car Connectivity Consortium vient de sortir un premier standard pour les Digital Keys, soit le fait d’embarquer la clé de contact d’un véhicule dans un smartphone ou tout autre terminal. Cette norme veut faciliter l’interopérabilité des dispositifs, créer un écosystème robuste et démocratiser ces technologies.

Définitivement absorbé par Dassault Systèmes, dont il prend le logo, Outscale représente l’offensive du groupe dans les domaines du cloud et de l’infrastructure. Et fort de son futur label SecNumCloud, l’entreprise de Laurent Seror entend bien s’imposer auprès du secteur public… avec un cloud « souverain ».

Le géant du paiement en ligne se renforce dans la lutte contre la fraude en mettant la main sur les solutions de Simility pour 120 millions de dollars. Celles-ci proposent un système de détection des fraudes basé sur le machine learning et l’analyse de données de transactions.

Voici le mantra de Werner Vogel, le CTO d’AWS, mardi matin lors de la conférence parisienne. Le géant du cloud veut répéter ses coups dans l’infra et le déploiement applicatif avec le machine learning, dont AWS veut simplifier l’accès aux entreprises dont ce n’est pas le cœur de métier.

Le patron d’Intel a entretenu une relation consentie avec un (ou une) salarié(e) de son entreprise, ce qui enfreint la politique interne de l’entreprise. Brian Krzanich a donc démissionné de son poste de CEO et du conseil d’administration de la société. Le CFO Robert Swan assure l’intérim jusqu’à ce qu’un nouveau CEO soit désigné.

L’éditeur de solutions de signature électronique de documents et autorité de confiance est quasiment prêt pour la conformité avec le RGPD. Pour y parvenir, l’entreprise a mis en place un plan d’action dans le temps.

Décidément, ça va devenir une habitude en Corée du Sud… Moins de deux semaines après que Coinrail ait été victime d’un vol, une autre plateforme d’échange se fait dérober l’équivalent de 30 millions de dollars en cryptoactifs.

L’éditeur de solutions de sécurité informatique a signé un accord avec Interpol. Rien de nouveau sous le soleil, Fortinet travaillait déjà avec l’entité dédiée à la lutte contre la cybercriminalité de l’organisation internationale. Mais ce partenariat formalise le partage d’informations entre l’entreprise et l’IGCI (Interpol Global Complex for Innovation).

Le réseau hertzien numérique rend encore de grands services mais l’Arcep propose de basculer très vite vers le câble, le satellite ou l’ADSL, avant la fibre optique.

La jeune entreprise belge spécialisée dans l’analyse et la visualisation des données de processus de fabrication tombe dans l’escarcelle de l’éditeur allemand. Ce rachat, dont le montant reste confidentiel, viendra compléter l’offre de solutions pour l’IoT industrielle de Software AG, une activité issue du rachat l’an dernier de Cumulocity.

Toutes les News

LIVRES BLANCS

En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Aujourd’hui, les entreprises doivent ouvrir leur SI à un nombre toujours plus important de prestataires extérieurs, d’abord pour réduire le budget informatique – recours à des prestataires externes pour des compétences qui ne font pas partie du cœur de métier de la DSI - ensuite pour gagner en rapidité dans le déploiement de nouvelles solutions.

  


Adoptée le 6 juillet 2016, la directive NIS (pour Network Infrastructure Security) doit être transposée par les Etats membres de l’Union Européenne au plus tard le 9 mai 2018.

Ce Livre Blanc éclaire les enjeux et les impacts de la directive NIS sur les pratiques de cybersécurité des pays européens.

  


"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


Tous les Livres Blancs