WannaCry : À qui profite le crime ?

Le 12 mai 2017, un ver informatique nommé WanaCrypt0r 2.0, ou WannaCry, infectait en masse des ordinateurs du monde entier. Nous vous proposons de revenir sur les dessous de l’affaire avec notre dossier sur ce malware inquiétant.

(Re)lire la partie 2 : WannaCry, vu d’un serveur SMB

(Re)lire la partie 3 : WannaCry, chronologie des évènements

Des pirates nord-coréens dans le viseur ?

Le 15 mai 2017 (1), un chercheur de Google publiait un morceau de code de WannaCry comportant des similarités troublantes avec certains outils utilisés par le groupe de pirates Lazarus. Cette information a été rapidement relayée par l’entreprise de sécurité informatique russe Kaspersky, spécialiste de ce collectif de hackers. Puis le 22 mai 2017 (2), Symantec communiquait un rapport étudiant de plus près ces similitudes et creusant la thèse de l’attribution de WannaCry à Lazarus.

On ne sait pas grand chose du groupe Lazarus :

  • On le croit responsable d’une série d’attaques visant la Corée du Sud, son gouvernement, ses institutions financières et ses médias entre 2007 et 2013.
  • il a en outre attiré l’attention générale en 2014 avec le piratage de Sony Pictures. L’attaque a été particulièrement intrusive ; les pirates ont notamment eu accès à des données confidentielles, comme des films non distribués ou les informations personnelles d’environ 4 000 employés de Sony. Le FBI a annoncé avoir des preuves, qu’il ne pouvait toutefois révéler au grand public, de l’implication de la Corée du Nord dans ce piratage, et le président Obama a fait savoir qu’il y aurait des représailles (3).
  • Deux ans plus tard, en 2016, le groupe est impliqué dans un ensemble d’attaques de banques en Pologne et au Bangladesh, dérobant 81 millions de dollars.

Groupe politique ou collectif de pirates attirés par le profit, qui est vraiment Lazarus ?

Voilà qui pose un problème dans la caractérisation du groupe. Dans la cybersécurité, il est en effet fréquent d’établir une séparation entre les acteurs malveillants d’origine étatique et ceux qui recherchent le profit. Les motivations des acteurs d’origine étatique sont généralement politiques ; ils visent des infrastructures publiques, des grandes banques ou entreprises, ou le gouvernement du pays ennemi, dans le but d’espionner ou de déstabiliser l’économie de leur adversaire. Leurs moyens techniques sont souvent impressionnants, car sponsorisés par un état.

Les pirates motivés par le profit ont des moyens généralement plus réduits : des codes non exempts de bugs, ou des copies d’autres outils déjà connus par exemple. Leurs cibles sont plus opportunistes.

Dans le cas de Lazarus, les moyens semblent particulièrement sophistiqués, selon Kaspersky Lab, et certaines motivations éminemment politiques. Les attaques contre la Corée du Sud, l’ennemi de toujours, sont sans surprise. Quant à Sony Pictures, il suffit de dire que Pyongyang avait menacé l’entreprise à la suite de réalisation d’un film, “The Interview”, qui parodiait le régime dictatorial de la Corée du Nord. Voilà qui de facto, ferait de Lazarus un groupe d’origine étatique.

Les motivations derrière les attaques bancaires sont en revanche plus difficiles à cerner, en ce qu’elles semblent d’ordre purement financier, et non politique; or les Etats ne s’intéressent pas à l’argent, selon un expert de Kaspersky Lab. Alors comment expliquer l’existence de telles campagnes de cybercrime, si on admet que Lazarus travaille pour un Etat ? La réponse tiendrait à une spécificité de ce groupe. Pour Kaspersky Lab, Lazarus (4), bel et bien lié au gouvernement nord-coréen, comporterait néanmoins une branche spécifiquement dédiée aux opérations financières, dont le but serait véritablement pécuniaire.

Une attribution difficile

L’attribution d’un malware est une opération particulièrement délicate, qui repose sur un ensemble de considérations techniques, culturelles et géopolitiques. Pour compliquer la tâche, chacune de ces considération peut être faussée, volontairement ou involontairement, et mener ainsi à une fausse attribution.

Par exemple, il est fréquent pour des pirates de récupérer des morceaux de code provenant d’autres groupes de pirates connus, poussant ainsi les entreprises de cybersécurité à attribuer faussement les piratages sur la base de ces indices techniques. Un groupe peut même choisir de publier le code derrière ses propres outils pour que celui-ci soit repris par de multiples acteurs malveillants, et ainsi brouiller les pistes. Les indices techniques sont donc à traiter avec la plus grande prudence.

Il en va de même pour les indices culturels ou politiques. Ainsi les “false flags”, les indices montés de toutes pièces visant à faire attribuer un malware à un groupe particulier, sont fréquemment employés par les pirates. Les révélations d’Edward Snowden avaient notamment mis en lumière le fait que la NSA possédait des outils permettant de générer de faux indices. Insérer des mots en cyrillique ou en chinois est par exemple l’une de ces techniques.

Enfin, il arrive que les pirates incluent des éléments culturels destinés à fourvoyer les experts. Ainsi, lors du piratage en 2015 de la chaîne de télévision TV5 Monde, le groupe à l’origine de l’attaque disait s’appeler le “Cybercaliphate”, et avait publié des messages de soutien à l’Etat Islamique, sans que celui-ci ne revendique l’attaque. L’enquête menée plus tard tendait pourtant à accuser APT28, un collectif de pirates de haut niveau associé au gouvernement russe.

La thèse de la Corée du Nord remise en cause?

Il faut donc être particulièrement prudent lors de l’attribution d’une attaque, et WannaCry n’échappe pas à la règle. De la même manière qu’il intègre des exploits de la NSA, il est possible que le ver intègre aussi des morceaux de code empruntés aux pirates de Lazarus.

D’autant plus que quelques jours après le communiqué de Symantec, le 25 mai 2017 plus précisément, le spécialiste en sécurité Flashpoint publiait sur son blog un communiqué indiquant que le ver serait d’origine chinoise (5). Cette dernière attribution ne repose pas seulement sur une observation de l’architecture du malware, mais aussi sur une analyse linguistique et culturelle. Les messages de rançon contiennent souvent des fautes de syntaxe imputables à l’utilisation d’un traducteur automatique, et seuls les messages dans la langue du rançonneur sont généralement exempts de telles fautes. Or dans notre cas, des détails linguistiques indiquent que seuls les messages en anglais et en chinois auraient été rédigés par un humain. Le message anglais contient toutefois quelques erreurs indiquant que l’anglais ne soit pas la langue natale du rédacteur, ce qui laisse le chinois comme langue natale la plus probable

Faut-il pour autant rejeter la thèse Lazarus? Un rançongiciel est, par définition, utilisé pour amasser de l’argent, ce qui en fait l’outil idéal pour les pirates à la recherche du profit. Voilà qui éloigne d’emblée des motifs politiques qu’un groupe lié à un gouvernement est censé poursuivre. Mais Lazarus est un groupe bâtard, qui comme on l’a vu, ne rechigne pas à la poursuite du profit. Pour autant, le rançongiciel ne paraît pas rentrer dans les schémas habituels de ce collectif. En effet, celui-ci utilise d’ordinaire des outils sophistiqués, pour cibler des banques et des institutions financières. Il est extrêmement discret, rentre souvent en profondeur dans les réseaux qu’il infecte, et y passe jusqu’à plusieurs années. Il cherche avant tout à éviter la publicité : ainsi, il effectue la plupart de ses actions en dehors des horaires de bureaux des victimes, et ses outils évoluent en fonction des révélations des chercheurs à leur sujet.

Ce qui ne ressemble pas à la manière de faire de WannaCry, qui n’a rien eu de discret, et qui a même été considéré par beaucoup comme “brouillon” :

  • ainsi, l’exploit EternalBlue semble avoir été simplement “copié” à la va-vite dans le ver;
  • le rançongiciel a plutôt eu une mauvaise performance, n’infectant en réalité que les versions Windows 7 et 2008 R2;
  • la clef de déchiffrement des documents devait être envoyée manuellement, et ne se débloquait pas automatiquement comme dans les rançongiciels plus récents, indice que les pirates ne prévoyaient pas d’infecter autant de machines;
  • le killswitch était particulièrement peu professionnel, car peu efficace. En effet, habituellement, un killswitch est plus robuste : il comporte plusieurs noms de domaines, ou en change en fonction du temps, ce qui permet de réduire le risque que le killswitch soit découvert et le virus stoppé. Ce qui n’était pas le cas de celui de WannaCry, qui était unique.

Par ailleurs pourquoi intégrer un killswitch, un interrupteur d’urgence visible par tous, si l’on veut que le ver se répande le plus rapidement possible? Sans compter la médiatisation d’un ver qui a touché de grandes entreprises et même des hôpitaux. Rien de plus désastreux en matière de discrétion !

Outre ces considérations techniques, l’utilisation d’un rançongiciel n’est pas dans les habitudes de Lazarus, qui cible d’habitude des institutions et des banques, plus lucratives. Le bot sur Twitter Actual Ransom (6), qui retrace les paiements effectués au profit de WannaCry, indique qu’une somme de 120 000 dollars a pour l’instant été versée aux pirates derrière le virus. Une somme dérisoire en miroir des 81 millions de dollars dérobés à la banque du Bangladesh.

WannaCry, une erreur de laboratoire ?

Cependant, une autre théorie postule que ce virus ait en réalité échappé aux pirates derrière sa conception. C’est la thèse du chercheur en sécurité The Grugq (7). L’impression de négligence que donne le ver, associée au killswitch et à l’absence de preuves d’une compromission originelle par phishing tendrait à prouver qu’il ne s’agissait que d’un test qui a débordé bien au delà de ce que les pirates avaient prévu.

Tant Symantec que Kaspersky Lab ont ainsi repéré des versions antérieures moins virulentes du malware, indiquant que les pirates ont d’abord expérimenté leur outil à l’aide de versions moins dangereuses, basées sur des chevaux de Troie ou des outils de vols de mots de passe, infectant seulement quelques ordinateurs, avant de passer à la vitesse supérieure, intégrant les exploits de la NSA au ver informatique. Une intégration bien trop efficace, puisque le malware se serait échappé et aurait contaminé des cibles non prévues par les pirates, avant de se répandre mondialement.

Ce qui ferait de WannaCry un logiciel encore en développement, expliquant par là même le manque de sophistication de l’outil, son côté bâclé, les premières cibles infectées manuellement et non par des emails de phishing et l’existence d’un interrupteur d’arrêt d’urgence, illogique dans le cadre d’une campagne de cybercrime, mais parfaitement logique lorsque l’on tente d’empêcher le ver de se répandre.

Si l’on résume donc, WannaCry a tout de l’outil en plein développement d’un groupe de cybercriminels à la recherche du profit ; et qui pourrait ou ne pourrait pas être le fait du groupe Lazarus, étant donné que celui-ci a probablement une branche dédiée à la collecte de fonds. Le manque de discrétion du ver et son aspect négligé, si contraire aux habitudes des pirates nord-coréens, trouveraient alors leur justification dans l’hypothèse d’un malware non terminé. De même que les faibles bénéfices octroyés par la rançon en comparaison avec les précédents faits d’armes de ces pirates : ces derniers auraient eu dans l’idée d’augmenter plus tard la rançon, une fois le logiciel rodé. Cette attaque serait alors une campagne classique de cybercrime, visant à récupérer des fonds. Mais peut-on se débarrasser si facilement de la théorie de l’attribution du ver à un groupe chinois ?

A qui profite le crime?

Les créateurs du malware, qu’ils soient chinois, nord-coréens ou autres, ne doivent pas nous faire oublier les grands gagnants de cette histoire. Un article du Washington Post du 16 mai (8) déclarait tout haut, sources anonymes à l’appui, ce que beaucoup pensaient tout bas : Microsoft aurait été averti des failles de sécurité à l’origine de WannaCry…. par la NSA en personne, et ce avant même que The Shadow Brokers ne les rendent publiques. Selon ce même article, le personnel de la NSA utilisait les outils et en particulier EternalBlue depuis 5 ans, tout en se demandant, au vu du potentiel disruptif de ces derniers, s’il ne fallait pas avertir Microsoft et les concepteurs de logiciels des énormes failles présentes dans leur code. Chose faite à présent, grâce à WannaCry.

Pendant des années, nous révèle l’article, la NSA a eu son propre processus interne pour juger de la nécessité de divulguer les défauts des logiciels ou les conserver secrets pour en faire des outils. Puis en 2014, le Conseil de Sécurité Nationale a instauré un nouveau processus de décision pour les vulnérabilités qui rassemble les différents organismes de sécurité des Etats-Unis. Selon l’expert en sécurité Mike McNerney, un ancien de la cybersécurité du Pentagone, le processus mis en place a parfaitement fonctionné dans le cas des outils dérobés à la NSA. Le problème s’est plutôt situé au niveau de la communication : la NSA a identifié le risque, et l’a communiqué à Microsoft qui a effectivement corrigé la vulnérabilité. Cependant, personne n’a publiquement exprimé le risque que représentait cette faille, ce qui a eu pour résultat que 98% des utilisateurs des machines compromises n’avaient tout simplement pas installé les patchs de sécurité.

Plus important, le malware a relancé le débat sur le stockage des vulnérabilités (9). Dans un communiqué du 14 mai, Microsoft revient sur la responsabilité de la NSA en appelant à une “conférence de Genève du digital”. Selon Brad Smith, le président de Microsoft, il est urgent que les gouvernements incluent dans leurs programmes de cybersécurité des bonnes pratiques, qui reviennent à rapporter les vulnérabilités aux constructeurs de logiciels plutôt qu’à les stocker.

Des armes dangereuses mais volatiles

Les vulnérabilités qui sont visées ici sont les 0days, des failles n’ayant fait l’objet d’aucune publication et d’aucun correctif connu. L’absence de protection pour ces vulnérabilités rend les malwares particulièrement efficaces et potentiellement destructeurs, lorsque la faille est critique. Elles sont donc activement recherchées, tant par les pirates, que par les agences gouvernementales. Il existe un véritable marché de ces 0days, certaines atteignant le prix de 1,5 million de dollars (soit 1,3 million d’euros).

Pour ces armes d’une nature particulière, le secret est essentiel. Une fois qu’elles sont publiées, elles deviennent pratiquement inutiles pour les agences gouvernementales, puisque les concepteurs de logiciels publient des correctifs. Les cibles visées par les agences de renseignement sont plus fréquemment à la pointe de la technologie que les particuliers ou les entreprises. Ainsi, le gouvernement et l’armée américaine n’ont pas été touchés par WannaCry, car ils avaient depuis 2014 fait la transition vers les OS les plus récents. C’est en partie la raison pour laquelle la NSA, une fois avertie de la compromission de son réseau, a signalé à Microsoft l’existence de ces vulnérabilités. Les outils dérobés étaient devenus des menaces, et leur utilité ayant fortement diminué, il devenait dangereux et contre-productif de conserver le secret sur les failles.

Ainsi, non seulement les Etats-Unis se sont fait dérober des armes coûteuses et efficaces, mais ont été forcés de dévoiler aux concepteurs de logiciels les vulnérabilités qu’ils avaient stockées. Il ne s’agit ni plus ni moins que d’un désarmement unilatéral, les adversaires des Etats-Unis dans le domaine de la cybersécurité n’ayant pas eu à subir un tel revers. Pire encore, WannaCry a focalisé l’attention publique sur l’agrégation des vulnérabilités par la NSA, de sorte que le gouvernement américain a été en partie tenu pour responsable du ver, quand bien même les patchs de sécurité existaient déjà plusieurs mois avant l’attaque.

Chat échaudé craint l’eau froide : désormais, la NSA y réfléchira peut-être à deux fois avant de garder secrète pour elle une vulnérabilité d’une telle importance. Scrupule que n’auront probablement pas la Russie ou la Chine.

La piste russe

Si aucun lien ne semble relier WannaCry à la Russie – le Président Poutine s’est même fendu d’un discours sur la responsabilité des Etats-Unis dans l’attaque, soulignant que l’on “recherchait toujours les coupables là où ils ne sont pas” (en référence à certaines rumeurs accusant la Russie d’être derrière l’attaque), certains chercheurs en cybersécurité avancent en revanche la thèse de la nationalité russe de The Shadow Brokers, le collectif à l’origine de la fuite de données de la NSA.

Cette théorie a pour fondement l’un des leaks postés par The Shadow Brokers en réponse aux frappes américaines en Syrie. Ce dernier s’accompagnait d’un message politique dénonçant, entre autres, lesdites frappes.

Une telle supposition, si elle s’avérait fondée, s’accorderait parfaitement avec la thèse du désarmement informatique unilatérale : la Russie, l’adversaire politique des Etats-Unis, aurait tout à gagner de voir les méthodes de la NSA fragilisées dans l’opinion publique. En effet, selon cette hypothèse, non seulement les pirates auraient volé aux américains leurs propres armes, mais les auraient ensuite divulguées de telle manière qu’un scandale éclate, et que les agences de renseignement américaines hésitent à construire de tels outils à l’avenir. Or la Russie, elle, est connue pour ses collectifs de hackers travaillant sous les ordres de son gouvernement et ciblant les entreprises et administrations de ses adversaires, comme APT28. Priver l’un de ces opposants d’un arsenal informatique similaire à son propre arsenal serait, de toute évidence, une aubaine fort appréciable pour les russes.

A noter que cette attribution n’est pour le moment étayée par aucune preuve concrète ; une autre piste tendrait à privilégier une source interne à la NSA. Ainsi, les messages postés par The Shadow Brokers contiennent des orientations politiques pour le moins étranges (accusant par exemple Trump de “s’éloigner de sa base [électorale]”, lui reprochant le départ de Steve Bannon, les frappes en Syrie ou encore le démantèlement de l’ObamaCare), qui pourraient aussi bien être des “false flags” ; la syntaxe du groupe, a priori chaotique, pourrait n’être selon un professeur en linguistique que le subterfuge d’un anglophone visant à tromper sur sa langue natale ; enfin, le contenu des documents postés par le collectif ressemble à s’y méprendre au contenu collecté par Harold T. Martin III, un homme ayant travaillé pour la NSA et arrêté en février 2017 pour avoir volé des documents appartenant à l’agence de renseignement (10).

Résumons les pistes évoquées :

  • les pirates nord-coréens du collectif Lazarus, premiers soupçonnés, ont bien une branche dédiée à la recherche du profit, qui pourrait être à l’origine de WannaCry, puisqu’on retrouve des similarités entre le ver et leurs outils ; pourtant, le manque de sophistication de cette attaque et le manque de discrétion ne ressemble pas à leur manière de faire.
  • Le malware pourrait aussi faire partie d’une campagne de cybercrime classique, émanant d’un pirate chinois, comme semble l’indiquer la traduction des messages de rançons ; mais la campagne aurait alors été particulièrement maladroite et peu lucrative.
  • Cependant, l’existence d’un killswitch, la faible rançon et l’amateurisme relatif du ver indiquerait que ce dernier soit comme un virus “échappé” d’un laboratoire, et que sa propagation éclair ait été accidentelle ; cette thèse ne s’oppose à aucune des deux précédentes, voire même, apporte de l’eau au moulin de chacune.

Que The Shadow Brokers soit un adversaire des Etats-Unis ou une source interne, que WannaCry représente une tentative de déstabilisation économique ou une banale campagne de cybercrime, la NSA n’en a pas moins été forcée à un désarmement partiel, certainement profitable à ses homologues étrangers. Assisterions-nous à l’une des manches de la cyberguerre mondiale entre les Etats-Unis et ses adversaires politiques et économiques ?

(1) https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
(2) https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group
(3) https://www.theguardian.com/technology/2015/jan/08/fbi-north-korea-accusation-sony-pictures-hack
(4) https://securelist.com/blog/sas/77908/lazarus-under-the-hood/
(5) https://www.flashpoint-intel.com/blog/linguistic-analysis-wannacry-ransomware/
(6) https://twitter.com/actual_ransom/
(7) https://medium.com/@thegrugq/internet-of-wilderness-of-mirrors-9eaa24bd99d8
(8) https://www.washingtonpost.com/business/technology/nsa-officials-worried-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-did/2017/05/16/50670b16-3978-11e7-a058-ddbb23c75d82_story.html
(9) https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.000x4l8ki1dvdfr9u2r19diw33vg8
(10) https://arstechnica.com/tech-policy/2017/02/former-nsa-contractor-may-have-stolen-75-of-taos-elite-hacking-tools/

 

Suggestions