Les origines d Olympic Destroyer masquées par un false flag

Olympic Destroyer

Alors qu’une importante cyberattaque a frappé les Jeux Olympiques de Pyeongchang, une enquête est en cours afin d’identifier les origines du malware Olympic Destroyer. Seulement voilà, le travail s’avère complexe puisque les auteurs de ce dernier ont pris soin de se masquer derrière un « false flag ».

Une cyberattaque rapidement reliée au groupe Lazarus

Les Jeux Olympiques de Pyeongchang ont été frappés par une cyberattaque qui a temporairement paralysé des systèmes informatiques mais aussi le site officiel de l’événement. Fort logiquement, une enquête a été ouverte avec l’objectif de retrouver qui se cache derrière le malware Olympic Destroyer.

En effet, bien que son impact ait été au final plutôt limité, cette cyberattaque aurait pu causer des dégâts sans précédent. Les autorités souhaitent donc savoir qui a voulu s’en prendre à cet événement sportif de renommée internationale.

De nombreux experts en sécurité informatique se sont donc penchés sur Olympic Destroyer et il est rapidement apparu que celui-ci avait probablement été conçu par des hackers russes, chinois ou encore nord-coréens. Il présentait effectivement des caractéristiques communes avec d’autres « solutions » utilisées dans le cadre d’activités de cyberespionnage menées par le passé.

Les équipes de Kaspersky Lab se sont également prêtées aux recherches et ont réussi à découvrir une « combinaison de caractéristiques » présentant une correspondance de 100% avec des éléments déjà connus dans un malware signé du collectif nord-coréen Lazarus.

Olympic Destroyer embarquait un false flag pour tromper les chercheurs

Bien qu’une correspondance évidente soit apparue entre Olympic Destroyer et de précédents malwares du groupe Lazarus, plusieurs incohérences mais aussi le type d’installations visées à Pyeongchang ont invité les chercheurs à aller plus loin dans leur enquête.

Et il semblerait qu’ils aient bien fait puisqu’ils ont découvert que le malware était une vaste contrefaçon ayant vocation à imiter Lazarus. Autant dire que certains ont voulu se faire passer pour le groupe de hackers nord-coréen et induire les chercheurs en erreur via un false flag.

Reste maintenant à savoir qui est donc à l’origine d’Olympic Destroyer et les pistes ne manquent pas. Toutefois, les équipes de Kaspersky Lab ont pu noter que les auteurs des attaques avaient eu recours à NordVPN et à MonoVM ce qui peut laisser penser au mode opératoire de Sofacy, un groupe de hackers proches des services de renseignements russes.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*