Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Tout chiffrer

Закодировать всё

D'autres publications de cette rubrique (17)
  • Ajouter aux favoris
    Ajouter aux favoris

WannaCry : qui est l'auteur ?

Lu par: 30842 Commentaires: 3 Cote de popularité: 9

jeudi 25 mai 2017

Qui est l'auteur de WannaCry ? Cette question préoccupe tout le monde, les services publics, les spécialistes de la sécurité informatique ainsi que les internautes. Le texte ci-dessous n'est pas un avis officiel de Doctor Web mais plutôt une réflexion sur le fait que lorsque des informations fiables manquent, il est très facile d'accuser qui que ce soit d'un cybercrime.

Commençons tout simplement par les faits :

  1. Le groupe The Shadow Brokers publie un ensemble d'outils de piratage volé au groupe Equation Groupe qui est soupçonné d’avoir des liens avec la NSA (National Security Agency, USA). Cette fois, des exploits utilisant les vulnérabilités dans les OS Windows à partir de Windows 2000 et Windows Server 2012 jusqu'aux OS Windows 7et 8 ont été publiés. L'archive publiée contient au total 23 outils, dont EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig et Fuzzbunch.
  2. Chez Microsoft (qui a été averti par un " inconnu " de la publication à venir) on a examiné les exploits et déclaré que les vulnérabilités dans le protocole SMB v1-3, utilisées par les outils EternalBlue outils, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar et EternalSynergy, ont déjà été corrigées et que certaines d’entre elles ont été éliminées cette année (CVE-CVE et 2017-0146-2017-0147). Un patch pour corriger les vulnérabilités des contrôleurs de domaine fonctionnant sous Windows 2000, 2003, 2008 et 2008 R2 et utilisant l'outil EsikmoRoll, a été publié il y a trois ans, en 2014. Il a été annoncé que les outils EnglishmanDentist, EsteemAudit et ExplodingCan ne fonctionnant pas sous les versions de Windows prises en charge par Microsoft, les patchs correspondants ne seraient pas publiés.

    En particulier, les vulnérabilités, qui ont été utilisées par WannaCry ont été corrigées par la mise à jour MS 17-010 publiée en mars 2017.
  3. Le nouveau ransomware, en utilisant les outils publiés par le groupe The Shadow Brokers (dont notamment, EternalBlue et Doublepulsar), a commencé à se propager à peu près à 10 h du matin le 12 mai 2017 et le soir du même jour les médias (non pas les éditeurs de solutions antivirus !) ont commencé à rapporter de nombreux cas de contamination.
  4. Le mardi 16 mai, The Shadow Brokers a annoncé la mise en place du service The Shadow Brokers Data Dump of the Month, qui présente tous les mois aux abonnés de nouveaux exploits ciblant des vulnérabilités auparavant inconnues dans les navigateurs, routeurs et appareils mobiles; dans l'OS Windows 10, il présente également des données volées du système bancaire SWIFT ainsi que des informations liées aux programmes nucléaires de pays tels que la Russie, la Chine, l'Iran et la Corée du Nord.

Créer un exploit ne signifie pas créer un cheval de Troie et l’utiliser pour mener une attaque.

Mais qui a créé un cheval de Troie ? Qui est derrière l’attaque, derrière la propagation du Trojan ?

Presque immédiatement, on a signalé des liens entre WannaCry et le groupe Lazarus.

Il a été noté que des fragments du code détecté dans la version antérieure du virus WannaCry ont été utilisés par le groupe Lazarus Group soupçonné d'avoir des relations avec Pyongyang.

http://rusgosnews.com/2017/05/17/specialisti-laboratorii-kasperskogo-rasskazali-kto-stoit-za.html

À cet égard, nous rappelons ce qui est attribué au groupe Lazarus :

  1. Une attaque réussie ciblant la société Sony en 2014. Ils ont également volé une série de banques, notamment la Banque Centrale du Bangladesh, où les pirates ont volé $ 81 millions en février 2016.
  2. L'attaque sur le système interbancaire SWIFT. En particulier, au mois de février 2016, les pirates ont pu retirer de la Banque centrale du Bangladesh 81 millions de dollars.
  3. L'attaque sur Banco del Austro en Equateur en janvier 2015. À la suite de laquelle $ 9 millions ont été volés.

Il s'agit donc d'une organisation sérieuse qui existe déjà depuis dix ans. Les opérations réussies, notons-le, sont toutes basées sur du piratage informatique, et non sur des envois de malwares.

Et quid de WannaCry (la description faite par les experts de Doctor Web est ici)?

  1. Le Trojan n'est pas emballé et il n'est pas du tout réemballé. La majorité des Trojans sont observés par des outils de surveillance pendant 9 minutes à peu près, mais WannaCry a mené des attaques durant quelques jours avec le même code sans essayer de se cacher des antivirus. Seule une très faible compétence des administrateurs système lui a permis de faire des ravages.
  2. Le cheval de Troie est une archive qui contient une clé de décompression visible de tout chercheur.

    #drweb

    (https://www.linkedin.com/feed/update/urn:li:activity:6269238070189654016)

  3. Le Trojan ne cherche pas à se cacher dans le système, tout moniteur de fichiers antivirus le détecte.
  4. Il est possible de lire une adresse email dans le Trojan : 
    00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA
00:34 < nulldot> 0x1000efc0, 19, wanna18@hotmail.com
00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky
00:34 < nulldot> 0x1000f270, 12, 00000000.pky 
00:34 < nulldot> 0x1000f2a4, 12, 00000000.res

    https://habrahabr.ru/company/pentestit/blog/328606
    https://habrahabr.ru/post/328548

  5. L'attaque a été menée depuis un seul endroit.

    #drweb

    https://www.hybrid-analysis.com/sample/24d004...

  6. Une petite erreur des pirates dans le module de réception des bitcoin a fait que les pirates n’ont pas touché l’argent qu’ils escomptaient gagner. Mais un grand nombre de victimes a été touché. Ne pourront-ils jamais restaurer leurs données car il est impossible de payer une rançon ?

Tout ceci ne ressemble pas du tout aux pirates de Lazarus capables de gagner des millions de dollars. Ajoutons que parmi les outils de la NSA qui ont été divulgués, il y avait un utilitaire permettant d'insérer dans le texte du programme des phrases dans une langue spécifique. Ainsi, il n'avait aucun problème pour insérer un morceau de code.

#drweb

https://twitter.com/neelmehta/status/864164081116225536

Le projet Lumières sur la sécurité recommande

  • Parce que nos utilisateurs n’ont pas été touchés et sans avoir des informations exhaustives sur les cas de contaminations réels, nous n’affirmons rien et ne faisons pas de suppositions qui ne reposent pas sur une conviction ferme. Le point de vue officiel de Doctor Web sur l'attaque est donné sur son site officiel.
  • Il est très facile de contrefaire des traces. Il est très compliqué de prouver une participation à l'attaque de qui que ce soit.
  • Nous espérons que le temps viendra où les auteurs de ce Trojan auront leur juste place. En prison.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs

Commentaires sur d'autres publication | Mes commentaires