Attaque de WannaCry : la piste des pirates nord-coréens de Lazarus se précise

Jun 2, 2017
Vote on Hacker News

L’enquête sur l’origine du déploiement massif du rançongiciel WannaCry, mi-mai, progresse. Les éditeurs de sécurité Symantec et FireEye ont repéré des liens nombreux entre WannaCry et le groupe de cyberpirates nord-coréens Lazarus. Les analyses n’ont en revanche pas pu affirmer si les hackers avaient travaillé pour un gouvernement ou pour leur propre profit.

L’attaque du rançongiciel WannaCry, le 12 mai, a infecté plus de 200 000 ordinateurs à travers 150 pays. Alors que des solutions pour récupérer les données cryptées sans payer se mettent en place, l’enquête sur l’origine de cette attaque avance.

Si Symantec s’est dans un premier temps montré prudent quant aux liens possibles entre WannaCry et le groupe de hackers nord-coréens Lazarus Group, l’éditeur de sécurité se montre désormais bien plus affirmatif : « Les outils et l’infrastructure utilisés dans l’attaque […] entretiennent des liens importants avec Lazarus, le groupe responsable des attaques destructrices contre Sony Pictures et le vol de 81 millions de dollars à la banque centrale du Bangladesh. […] Il est très probable que Lazarus soit derrière WannaCry » explique ainsi Symantec.

Les mêmes portes dérobées, les mêmes hash que lors d’attaque de Lazarus, selon Symantec

En analysant l’historique des attaques WannaCry depuis la première, du 10 février 2017, les analystes ont repéré que le rançongiciel utilisait notamment deux portes dérobées (backdoor), TrajanAlphanc et Trojan.Bravonc. La première partage une part de code significative avec Backdoor.Duuzer, qui avait été utilisée par Lazarus lors de l’attaque contre Sony. La seconde utilise un serveur de contrôle et de commande à la même adresse IP utilisée par un sample de Deshover, un outil de Lazarus.

«Il existe un certain nombre de croisements observés dans les serveurs C&C utilisés dans les campagnes WannaCry et par d’autres outils Lazarus connus. Par exemple, lors des attaques contre Sony, une famille de logiciels malveillants appelée Backdoor.Destover a été déployée. Les variantes ultérieures de Backdoor.Deshover ont été utilisées pour l’adresse IP 87.101.243.252 pour la commande et le contrôle. L’exemple de Trojan.Bravonc a révélé que WannaCry se connecte également à cette adresse IP », détaille Symantec.

De même, l’éditeur de sécurité a retrouvé des similitudes fortes entre le hash utilisé par Wannacry et celui de Backdoor.Contopee, une porte dérobée utilisée par Lazarus dans ses attaques contre les banques.

Un code unique commun, selon FireEye

De son coté, FireEye, un autre éditeur de sécurité, a découvert que WannaCry partage un code unique avec les logiciels malveillants Whiteout, utilisés eux aussi par les hackers nord-coréens. Ce code n’est pas disponible en open source et, à ce jour, les seuls logiciels l’utilisant sont WannaCry, Whiteout, ainsi que d’autres logiciels malveillants nord-coréens, comme NESTEGG et MACTRUCK.

Cela prouve, pour FireEye, « que, au minimum, les opérateurs de WannaCry partagent des ressources de développement de logiciels avec des opérateurs d’espionnage nord-coréens. ».

Une attaque de pirates nord-coréens, mais pas une attaque du gouvernement nord-coréen ?

Cela étant, les deux éditeurs se sont bien gardés de relier directement l’attaque de Lazarus au gouvernement nord-coréen. Symantec a même ouvertement écarté la piste d’une opération commandité par la Corée du Nord, qui a d’ailleurs farouchement nié être à l’origine de cette attaque.

« En dépit des liens avec Lazarus, les attaques WannaCry ne portent pas la marque d’une campagne menée par un Etat-nation mais sont plus typiques d’une campagne de cybercrime », a ainsi précisé Symantec. Cela tendrait à prouver que les hackers de Lazarus Group ont agi pour leur seul profit.

Mais rien n’est moins sûr : Symantec ne veut pas s’attirer les foudres de la Corée du Nord, et n’a pas l’habitude d’attaquer nommément les Etats. Il reste tout à fait envisageable que Lazarus Group ait agi pour le compte du gouvernement nord-coréen, mais en donnant à cette attaque les aspects d’un cybercrime « classique ». L’équipe de Symantec n’a d’ailleurs pas réfuté catégoriquement cette piste. Cela étant, il est peu probable que la vérité en la matière soit un jour clairement découverte.