Passer au contenu

Comment les chercheurs en sécurité ont traqué les hackers de Sony Pictures

Plus de 45 familles de malwares ont pu être associées à un seul et même groupe de pirates, par un filtrage automatique de milliards de fichiers malveillants et une analyse de code artisanale. Une enquête impressionnante.

Il y a quelques jours, un rapport a révélé l’existence d’un groupe de hackers professionnels baptisé « Lazarus » dont l’activité remonte au moins jusqu’à 2007 et qui serait peut-être lié à la Corée du Nord. Ce groupe a en tout cas été identifié comme étant l’auteur du terrible piratage contre le studio Sony Pictures fin 2014. Ce rapport conforte donc l’accusation du FBI, qui avait pointé du doigt le gouvernement de la Corée du Nord et réduit définitivement à néant les théories d’une vengeance interne ou d’une action hacktiviste qui circulaient à l’époque.

App Store Play Store
À lire : App Store et Play Store : Apple et Google pourraient vérifier l’âge des utilisateurs des réseaux sociaux

Au-delà de sa conclusion, cette enquête est également remarquable par les ressources et les méthodes d’investigation qui ont été mis en œuvre. Il s’agit, en effet, d’un travail énorme qui a duré plus d’un an et qui a mobilisé les chercheurs en sécurité de treize sociétés différentes, dont Novetta, Kaspersky, Alienvault et Symantec.

La traque commence le 14 décembre 2014, lorsque l’US-Cert publie les indicateurs de compromission de l’attaque contre Sony Pictures, c’est-à-dire les informations techniques spécifique au malware utilisé : noms et types de fichiers, signatures de codes malicieux (hash), chemins d’installation, dates de compilation, adresses de serveurs de commande et contrôle (C&C), clés de registres modifiées, flux réseaux, etc.

Des règles Yara pour tout cataloguer

Le tout est synthétisé dans une série de signatures dites « Yara », une méthode qui permet de cataloguer et détecter les malwares à partir de chaînes de caractères qui peuvent s’y trouver. Celles-ci peuvent être d’ordre textuel ou binaire et constituent les indices qui peuvent trahir la présence de ce malware.

Novetta – Méthodologie d’enquête utilisée

A partir de ces informations techniques, les chercheurs interrogent différentes bases de données de malwares, comme celle de VirusTotal ou de l’antivirus Kaspersky. Des bases qui stockent des exemplaires de codes malicieux qui sont envoyés par les victimes et par les enquêteurs, ou qui sont collectés par les logiciels antivirus.

Plusieurs milliards d’exemplaires ont ainsi été scannés et comparés aux indicateurs de compromission de Sony Pictures. En affinant au fur et à mesure la définition des signatures et des règles Yara, ils sont arrivés à réduire le périmètre de leur enquête à 2000 fichiers, qu’il s’agissait alors d’analyser… à la main. Un vrai travail de fourmi !

A ce jour, les chercheurs ont réussi à décortiquer un millier de ces fichiers, permettant de révéler plus de 45 familles de malwares qui proviennent toutes du groupe Lazarus. Certaines d’entre elles étaient connues sous un autre nom comme Wild Positron/Duuzer, Destover ou KillDisk, et étaient utilisés dans des cyberattaques passées telles que DarkSeoul, une campagne qui a ciblé des médias et des instituts financiers en Corée du Sud entre 2009 et 2013.

Novetta – Classification des malwares de Lazarus

Pour pouvoir lier tous ces malwares entre eux, les chercheurs ont identifié certaines caractéristiques que l’on retrouvait dans ces différentes familles. Un bout de code répliqué, une façon d’effacer les traces d’infection (« scripts suicide »), l’usage de certains algorithmes de chiffrement, la manière de communiquer avec les serveurs de C&C, etc.

L’une des spécificités rencontrées était, par exemple, l’utilisation de fichiers ZIP protégés par mot de passe pour l’injection de malwares dans le système cible. Ils avaient tous le même mot de passe codé en dur : «!1234567890 dghtdhtrhgfjnui$%^^&fdt». 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN