WannaCry : la chronologie des événements

Le 12 mai 2017, un ver informatique nommé WanaCrypt0r 2.0, ou WannaCry, infectait en masse des ordinateurs du monde entier. Nous vous proposons de revenir sur les dessous de l’affaire avec notre dossier sur ce malware inquiétant.

(Re)lire la partie 2 : WannaCry, vu d’un serveur SMB

(Re)lire la partie 4 : WannaCry, à qui profite le crime ?

Un cryptoworm particulièrement virulent

WannaCry est un ver informatique (1), un programme qui peut s’auto-répliquer et se déplacer à travers un réseau sans avoir réellement besoin d’un hôte (support physique ou logique, comme un disque dur ou un fichier) pour se propager. Ainsi, une fois la première machine infectée, il peut se reproduire de lui-même et infecter d’autres machines, même extérieures à son propre réseau, sans action de l’utilisateur. La plupart des vers se répand grâce aux messageries électroniques, en récupérant l’ensemble des adresses email contenues dans le carnet d’adresse de la victime et en envoyant des copies d’eux-mêmes à tous ces destinataires.

La première infection a traditionnellement lieu par le biais d’un email de phishing, contenant un lien ou une pièce jointe malveillante. Pourtant, dans le cas de WannaCry, Sophos Lab (2) indique qu’aucune preuve d’une infection via un email compromis n’a été trouvée. Tout indique que l’attaque ait démarré directement par l’infection d’un port SMB vulnérable.

La charge utile de ce malware en fait un “cryptoworm”, c’est-à-dire un ver rançongiciel : un logiciel qui, une fois installé sur une machine, chiffre les documents de l’utilisateur, les rendant impossible à lire pour qui n’a pas la clef de déchiffrement. Le rançongiciel demande ensuite à l’utilisateur une rançon, que celui-ci doit payer pour recevoir ladite clef qui lui permettra de déchiffrer ses documents. Généralement, au-delà d’un certain délai, la clef de déchiffrement est effacée. WannaCry, pour sa part, exige une rançon relativement faible pour un tel ver, de 250 à 500 euros (si l’utilisateur ne paie pas la rançon assez vite).

Le ver repose sur un arsenal technologique élaboré : la faille EternalBlue, divulguée par les Shadow Brokers, qui cible le protocole de partage de fichier de Microsoft SMB, et DoublePulsar, un outil de la NSA visant à installer une porte dérobée sur les ordinateurs touchés pour y garantir au pirate un accès à tout moment.

La spécificité de WannaCry est de commencer par chercher si un nom de domaine particulier, le fameux killswitch, est accessible ; s’il l’est, alors le ver arrête ses activités. Si non, il télécharge la charge utile malveillante qui s’occupera du chiffrement des documents, via un serveur de Command&Control de qui il reçoit ses instructions. En parallèle du chiffrement, le ver génère aléatoirement une liste d’adresses IP, à laquelle il envoie ensuite des paquets malveillants. Le ver cherche ainsi un nouvel hôte distant vulnérable à la faille EternalBlue sur laquelle il repose, pour pouvoir l’infecter, se répandre par ce biais dans un nouveau réseau d’ordinateurs et recommencer son cycle.

Une chronologie complexe des événements

Si le grand public n’a entendu parler que très récemment de WannaCry, suite à l’attaque éclair de ce ver, les évènements à l’origine de sa création sont plus anciens, et il n’est ni le seul, ni le premier malware à mobiliser les failles dérobées à la NSA. Revenons donc sur cette chronologie complexe.

Le 13 août 2016, le collectif de pirates “The Shadow Brokers” publie sa première fuite de données (3) en la médiatisant sur son compte twitter. Celle-ci contient des failles de sécurité de type 0day, des outils de piratage et des documents confidentiels provenant de services de renseignement. Cette fuite est contrôlée, en ce qu’il s’agit d’un petit nombre de documents et d’outils en libre accès sur le site Pastebin et servant de publicité pour la mise aux enchères d’un ensemble de données bien plus importantes. Selon le collectif, ces données ont été volées à The Equation Group, le groupe de hacker supposément au service de la NSA, qui aurait amassé des failles de sécurité informatiques et construit des outils pour les exploiter. Ces données volées par le collectif feraient donc partie de l’arsenal cyber-militaire de la NSA. L’identité des pirates n’est pas connue, mais deux pistes semblent prévaloir : il s’agirait, soit d’un lanceur d’alerte ou d’un acteur interne à la NSA, soit d’un groupe lié au gouvernement russe. Aucune de ces pistes n’a été confirmée jusqu’à présent.

Selon un article du Washington Post (4), la NSA aurait décidé, suite à la première publication du collectif, d’avertir les différents vendeurs et constructeurs des failles qu’elle avait découvertes, pour que ceux-ci ne soient pas pris au dépourvu.

Le 16 août 2016, l’entreprise de cybersécurité russe Kaspersky Lab publie un communiqué assurant de l’authenticité des données volées. Cette entreprise a en effet travaillé sur le collectif The Equation Group, et repère des similarités troublantes entre leurs outils et ceux divulgués par The Shadow Brokers (5).

Courant février 2017 (6), Microsoft développe une série de patchs de sécurité visant à corriger la faille exploitée par EternalBlue. Certains de ces patchs sont à destination des systèmes d’exploitation (OS) que Microsoft ne prend plus en charge. Notamment, les patchs de sécurité pour Windows XP, Windows 8, Windows Server 2003 sont créés le 11, le 13 et le 17 février 2017. Ils ne seront pourtant mis en ligne qu’après l’attaque, soit deux mois après ceux à destination des OS que Microsoft supporte encore, et trois mois après leur création.

Le 14 mars 2017, dans son Patch Tuesday, Microsoft publie (7) un bulletin d’information critique, “Microsoft Security Bulletin MS17-010 – Critical”. Il décrit une mise à jour visant à corriger une vulnérabilité permettant “l’exécution de code à distance si un attaquant envoie à un serveur Microsoft Server Message Block 1.0 (SMBv1) des messages spécialement conçus”. Cependant, cette mise à jour n’est disponible, suivant les propres mots de Microsoft, que pour les OS qui n’ont pas “atteint la fin de leur cycle de vie”, c’est-à-dire les systèmes d’exploitations pour lesquels Microsoft accepte encore de publier des mises à jour. Les OS non patchés sont les suivants : Windows XP, Windows 8, Windows Server 2003 et toutes leurs versions.

Le 14 avril 2017, le groupe connu sous le nom de Shadow Brokers (les “courtiers de l’ombre”) publie un tweet contenant un lien vers une story Steemie (8). Celle-ci affiche un message et un autre lien. Ce dernier permet d’accéder au fichier contenant les documents piratés. Il s’agit du 5ème leak des Shadow Brokers. Parmi les fichiers en libre service, le détail de la faille du protocole SMB, l’outil de piratage EternalBlue et DoublePulsar, la backdoor qui est installée par EternalBlue ; il s’agit de l’arsenal qui servira à l’élaboration de WannaCry.

Le 21 avril 2017, selon Binary Edge (9), une entreprise de cybersécurité et de Data Science, on compte près de 429 000 machines infectées par DoublePulsar, la backdoor révélée deux semaines auparavant.

Fin avril, des attaques utilisant l’exploit EternalBlue voient le jour. Au moins trois types d’attaques ont été répertoriés par le spécialiste en sécurité Secdo (10), jugés rétrospectivement plus sophistiqués et inquiétants que WannaCry, mais moins répandus.

Le premier échantillon du malware EternalRocks est daté du 3 mai 2017. Celui-ci utilise 7 outils de la NSA, et non 2, comme WannaCry. Il ne sera toutefois pas repéré avant la fin du mois.

Les premières occurrences du ver WannaCry sont détectées dans des ordinateurs en Asie le 12 mai 2017, à 07:44 UTC selon Sophos Lab (2). L’attaque est lancée et fera en peu de temps plus de 200 000 victimes. Toujours selon Sophos Lab, il semblerait que le vecteur premier de l’infection ne soit pas un email de phishing, comme dans la majorité des attaques de ce genre, mais un port du protocole SMB ouvert. Vers 14:30, un chercheur en sécurité informatique, MalwareTech (11), enregistre le nom de domaine du killswitch, causant une décrue brutale de la rapidité de l’infection du ver. Dans la journée, Microsoft affiche sur son site des liens de téléchargement (12) de patchs correctifs de la vulnérabilité pour les versions qu’il ne supporte plus (Windows XP, Windows 8, Windows Server 2003), mesure d’urgence pour tenter de ralentir la diffusion du ver. Ces différentes actions ont pour effet d’enrayer en partie la progression de WannaCry.

Le 13 mai 2017 émergent de nouvelles versions du ver ne possédant pas de killswitch ou dont le nom de domaine du killswitch a changé (13).

Le 14 mai 2017, Matthieu Suiche, un chercheur français, confirme l’existence d’une autre version de WannaCry et enregistre le nom de domaine du nouveau killswitch (13).

Microsoft publie un article (14) critiquant la politique de la NSA, pointant du doigt sa responsabilité dans l’attaque et appelant à une “Convention de Genève Digitale”. Dans la foulée, le journal d’investigation The Register, spécialisé dans les nouvelles technologies, récupère les métadonnées des correctifs publiés par Microsoft et découvre que les patchs pour les OS non supportés par Microsoft, mis en ligne après l’attaque, avaient été développés en février (6).

Le 19 mai 2017, trois experts en informatique français annoncent avoir mis au point un logiciel, WannaKiwi, qui récupère la clef de déchiffrement de WannaCry selon certaines modalités (15). Ce logiciel est conseillé par Europol comme la solution la plus efficace à l’heure actuelle.

Dans la même journée, le membre du CERT croate et chercheur en cybersécurité Miroslav Stampar publie les résultats (16) de son étude sur EternalRocks, un malware considéré comme potentiellement plus dangereux que WannaCry. Celui-ci intègre septs outils de la NSA, pratiquement tous concernant des failles SMB. Il est plus complexe et plus difficilement repérable que WannaCry, mais il ne télécharge aucun contenu malveillant (17).

Le 22 mai 2017, le spécialiste en cybersécurité Symantec publie un article établissant des similarités entre WannaCry et les différentes attaques menées par Lazarus, un groupe de pirates lié à la Corée du Nord. Selon l’entreprise, de nombreux outils et infrastructures utilisés par le ver seraient semblables à ceux du groupe nord-coréen (18).

Le 24 mai 2017, le développeur à l’origine du ver EternalRocks ouvre un forum sur son serveur, dans lequel il indique que son logiciel n’est en rien un malware, qu’il souhaitait simplement “s’amuser avec les outils de la NSA” et ensuite mettre un pare-feu sur les ports SMB ouverts. Le ver semble avoir été stoppé par son constructeur (19).

Le 25 mai 2017, le spécialiste en sécurité Flashpoint publie sur son blog un communiqué indiquant que le ver serait d’origine chinoise (20). Pour preuve, les messages de rançon contiennent des fautes de syntaxes imputables à l’utilisation d’un traducteur automatique, et seuls les messages en anglais et en chinois auraient été rédigés par un humain, le message anglais contenant toutefois quelques erreurs indiquant que l’anglais ne soit pas la langue natale du rédacteur.

 

Les analyses se succèdent et les experts en sécurité informatique rivalisent dans leurs révélations pour tenter d’attribuer la parenté de WannaCry.

Une question reste toutefois sans réponse : à qui profite réellement ce ver ?

 

(1) http://www.commentcamarche.net/contents/1236-ver-informatique
(2) https://nakedsecurity.sophos.com/2017/05/17/wannacry-the-ransomware-worm-that-didnt-arrive-on-a-phishing-hook/
(3) https://twitter.com/shadowbrokerss/status/764370347231764480
(4) https://www.washingtonpost.com/business/technology/nsa-officials-worried-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-did/2017/05/16/50670b16-3978-11e7-a058-ddbb23c75d82_story.html
(5) https://securelist.com/blog/incidents/75812/the-equation-giveaway/
(6) https://www.theregister.co.uk/2017/05/16/microsoft_stockpiling_flaws_too/
(7) https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
(8) https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
(9) https://blog.binaryedge.io/2017/04/21/doublepulsar/
(10) http://blog.secdo.com/multiple-groups-exploiting-eternalblue-weeks-before-wannacry
(11) https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
(12) https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
(13) https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e
(14) https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.000x4l8ki1dvdfr9u2r19diw33vg8
(15) https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
(16) https://github.com/stamparm/EternalRocks
(17) https://www.developpez.com/actu/138173/EternalRocks-le-malware-ciblant-le-service-SMB-s-appuie-sur-7-exploits-de-la-NSA-tandis-que-WannaCry-n-en-utilise-que-deux/
(18) https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group
(19) https://www.bleepingcomputer.com/news/security/author-of-eternalrocks-smb-worm-calls-it-quits-after-intense-media-coverage/
(20) https://www.flashpoint-intel.com/blog/linguistic-analysis-wannacry-ransomware/

 

Suggestions