WannaCry : ni les Russes, ni la Corée du Nord, juste une expérience qui a mal tourné ?

Sur le web

Par Elodie le

C’est la thèse défendue par un chercheur en sécurité au regard des particularités techniques de l’attaque. WannaCry ne serait qu’une expérience de laboratoire qui aurait malencontreusement échappé à ses créateurs.

Frankenstein

Frankenstein à l’ère numérique. Alors que le monde se remet doucement de la fulgurante propagation du ransomware WannaCry (ou WanaCrypt ou WanaCrypt0r 2.0) et que les premières solutions apparaissent, un chercheur en sécurité avance une théorie pour le moins surprenante, mais non dénuée d’intérêt.

S’il ne remet pas en doute la paternité de WannaCry, attribuée au groupe de pirates Lazarus, il émet des doutes sur ses réelles ambitions.

Lazarus derrière WannaCry

Kaspersky Lab et Symantec, deux sociétés spécialisées en sécurité informatique, ont récemment opéré un lien entre le ransomware et les manœuvres du groupe de hackers Lazarus. Avec une « forte probabilité » pour la seconde, tant au regard du code que de l’infrastructure de WannaCry.

capture d’écran

Depuis la cyberattaque ayant visé Sony Pictures, les États-Unis ont établi un lien entre ce groupe et la Corée du Nord. Lien toujours actif à ce jour à en croire les deux sociétés.

Pas une campagne étatique

Pourtant, WannaCry ne ressemble en rien à une campagne fomentée par un État, estime Symantec :

En dépit des liens avec Lazarus, les attaques WannaCry ne portent pas les marques d’une campagne gouvernementale, mais sont plutôt typiques d’une campagne de cybercrime.

Les campagnes gouvernementales se bornent généralement à subtiliser (des données) et déstabiliser. Leur pendant criminel vise le maximum de profit. Quel intérêt pour la Corée du Nord de lancer une campagne par ransomware pour demander 300 dollars de rançon par ordinateur infecté, quand leur dernier gros coup connu contre une banque du Bangladesh lui a rapporté quelque 81 millions de dollars ?

WannaCry n’est qu’une expérimentation

Lazarus serait-il en train d’ajouter une corde à son arc ? Pour le chercheur en sécurité The Gruqd, la réponse est tout autre : WannaCry est un accident. Plus précisément « un logiciel encore en développement qui s’est échappé ».

Dans un billet publié sur Medium, il s’explique sur ce qui le pousse à pencher pour une telle version.

Symantec a relevé des versions antérieures, mais peu virulentes de WannaCry. La société Kaspersky Lab a elle-même repéré des similitudes entre un code utilisé dans une version antérieure du ransomware et dans ceux utilisés par le groupe Lazarus. Celui-ci se serait donc préalablement fait la main sur des versions peu virulentes du programme pour le peaufiner par la suite.

Et la créature s’échappa…

Une phase « test » menée en infectant quelques ordinateurs grâce à des chevaux de Troie ou des vols de mot de passe. Ensuite, les pirates ont musclé leur programme en remplaçant ces techniques éprouvées par l’exploit Eternal Blue, un outil très sophistiqué de la NSA dévoilé par les Shadow Brokers. C’est à ce moment-là que la créature aurait échappé à ses créateurs

« Et puis, la machine s’est emballée. [WannaCry] a explosé et s’est diffusé hors de tout contrôle, au-delà de ce qu’ils pouvaient gérer. Et le pire, c’est que ce truc a touché des cibles sensibles dans les pays occidentaux (hôpitaux) générant une importante couverture médiatique », estime The Grugq.

Plusieurs indices viennent étayer cette théorie :

— le faible paiement demandé, 300 dollars, les pirates prévoyaient certainement d’infecter quelques centaines de machines sur une poignée de semaines ;

— l’envoi manuel de la clé de déchiffrement des données, plutôt qu’un envoi automatisé, donc à grande échelle. Ce qui tend à confirmer le premier indice ;

— l’exploit Eternal Blue a été intégré à la va-vite, quasi en « copier/coller », comme si les hackers avaient lu « 11 façons d’augmenter la puissance de votre ransomware » ;

— la mauvaise performance du ransomware : celui-ci n’infecte en réalité que Windows 7 et 2008 R2 ;

— le kill switch activé accidentellement par un jeune anglais et qui a permis de stopper la propagation du malware .

Pour Gurgq, il ne fait aucun doute que sa présence confirme le logiciel en cours de développement, en cas de véritable cyberattaque, sa présence est inutile, les pirates n’ont que faire d’un tel outil.

Die Hard 4

Lazarus va améliorer WannaCry

Le chercheur valide la thèse du groupe Lazarus derrière la création de WannaCry et va même plus loin. Selon lui, le groupe se sait hors d’atteinte, car protégé par le régime nord-coréen.

« Un groupe de hackers normal ferait profil bas, mais ces gars-là n’ont pas de telles préoccupations. C’est pourquoi je prédis qu’ils vont tirer beaucoup d’enseignements de cette débâcle WannaCry. Ils ajouteront d’autres exploits issus de l’arsenal de la NSA publié par les Russes. Et augmenteront le prix de la rançon – 300 dollars étant trop peu ».

Grugq, à l’instar d’autres experts, voit en effet les Russes derrière les Shadow Brokers. Une manœuvre pour déstabiliser la NSA et l’Oncle Sam sans en avoir l’air. Une théorie défendue par Edward Snowden en août dernier lorsque les Shadow Brokers sont sortis de l’ombre pour se féliciter de leur forfait.

Source: Source