La Russie accusée d’attaque «fictive» contre Olympic ouverture

La Russie ne pouvait pas rivaliser sous son propre drapeau à PyeongChang, et les responsables américains suggèrent qu'ils ont utilisé un Agrandir / Russie ne pouvait pas concourir sous son propre drapeau à PyeongChang et aux États-Unis. les fonctionnaires suggèrent, ils ont utilisé une “fausse drapeau” attaque de malware pour les perturber.Getty Images

La cyberattaque qui a perturbé certains réseaux et serveurs au l’ouverture des Jeux Olympiques d’hiver à PyeongChang a laissé un certain nombre de indices médico-légaux contradictoires sur sa source. L’attaque a utilisé un mélange de techniques, d’outils et de pratiques combinant les empreintes digitales des groupes de menace liés à la Corée du Nord, à la Chine et Russie.

Mais selon un rapport d’Ellen Nakashima du Washington Poste, les responsables américains du renseignement ont déterminé avec confiance que l’attaque était en fait une opération de “faux drapeau” mis en scène par des individus travaillant pour le compte d’un renseignement russe agence – une attaque qui allait jusqu’à acheminer le trafic via IP adresses associées à la Corée du Nord pour masquer l’attaque origine.

Lectures complémentaires

Ouverture des Jeux olympiques d’hiver de Pyeongchang perturbée par une attaque de logiciels malveillants

À la suite de l’attaque du 9 février, qui a touché des serveurs Web routeurs réseau connectés aux organisateurs des Jeux d’hiver comité – y compris le réseau du centre de presse, le Wi-Fi public réseaux, et les serveurs Web associés à la vente de billets pour le Événements des jeux: plusieurs entreprises de sécurité ont rapidement évalué les logiciels malveillants connecté à l’attaque. Évaluation initiale du malware montré quelques points communs dans les techniques avec NotPetya, le malware “essuie-glace” attribué à la Russie par les services de renseignements britanniques et américains. Talos Labs de Cisco révisé ultérieurement son rapport, initialement publié le 12 février après avoir découvert que les échantillons de programmes malveillants réellement utilisés outils de vérification des informations d’identification pour obtenir les noms d’utilisateur et les mots de passe, puis a écrit ces informations d’identification dans le code utilisé pour propager l’infection à travers le réseau.

Aujourd’hui, les chercheurs de Talos, Paul Rascagneres et Martin Lee mis en garde contre l’attribution de l’attaque, comme les médecins légistes du malware a suggéré trois différents attaquants potentiels. “Le menace acteur responsable de l’attaque a délibérément inclus preuves pour frustrer les analystes et amener les chercheurs à faux les drapeaux d’attribution “, écrit la paire.” Cette fausse attribution pourrait enhardir un adversaire à nier une accusation, citant publiquement preuves fondées sur de fausses déclarations de tiers non consentants. ”

Les chercheurs ont découvert qu’en plus des similitudes avec NotPetya, le malware “Olympic Destroyer” (comme Talos l’a surnommé) utilisé une convention de dénomination de fichier similaire à celle utilisée dans SWIFT malware bancaire utilisé par une succursale de la société nord-coréenne Lazarus Groupe.En outre, de petits fragments de code dans la les logiciels malveillants marquent le travail de trois Chinois différents groupes de menace. L’utilisation de ces témoins est un classique du “anti-criminalistique” travaillent par les attaquants, ce qui rend l’attribution beaucoup plus difficile basé uniquement sur le malware lui-même.

Mais Talos n’a pas déterminé comment les assaillants étaient parvenus � dans le réseau en premier lieu. Le rapport de la Poste offre une explication possible et éventuellement meilleure attribution: US responsables du renseignement ont dit à la poste que les routeurs en Corée du Sud avait été compromis avant les Jeux olympiques. Ces fonctionnaires croire que les routeurs ont été compromis par des attaquants au service de le GRU, la plus grande agence de renseignement étrangère de Russie. Compromettant les routeurs auraient pu permettre aux assaillants de rediriger le réseau trafic, permettant la surveillance du trafic ou “homme dans la “attaques moyennes”, y compris l’injection de logiciels malveillants dans le réseau trafic.

Les outils d’exploitation de routeur ont généralement été le domaine de les agences de renseignement d’Etat. Documents divulgués par Edward Snowden a montré que la National Security Agency utilisait ce genre de capacités dans Turbine, le système automatisé de cyberattaques composant de la boîte à outils de la NSA sur les opérations d’accès sur mesure. dans le cas d’attaque olympique, des responsables ont dit à la poste que des membres de Le centre principal de technologie spéciale du GRU (GTsST) était le plus probablement les coupables. On pense également que GTsST est responsable pour NotPetya, selon la CIA.

Lectures complémentaires

Le moteur de piratage automatisé de la NSA permet de programmer en mode mains libres monde

Le motif joue également un rôle majeur dans la plupart des appels d’attribution, et La Russie avait le motif le plus évident parmi les trois potentiels assaillants: retour sur investissement pour le Comité international olympique l’interdiction de nombreux athlètes russes aux Jeux et son refus de permettre aux athlètes russes de participer en tant que représentants de la Russie. Il y a aussi le précédent record olympique de la Russie en matière de piratage: attaques contre l’Agence mondiale antidopage (AMA) et les Jeux olympiques officiels aux Jeux olympiques d’été de 2016 au Brésil ont été attribué à l’intelligence russe.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: