Jeux Olympiques d’hiver : déjà visés par des cyberattaques ?

Posté le Sécurité Informatique
Jeux Olympiques d'Hiver 2018 Peyongchang hackers cybersecurity

Les enjeux des Jeux Olympiques

Les Jeux Olympiques ont toujours eu un microcosme géopolitique. En effet, au-delà des rencontres athlétiques, ils sont un véritable vecteur pour la diplomatie et la propagande. Et même, de temps en temps, un intermédiaire de guerre.

Donc c’est logiquement qu’en 2018 les qu’ils soient également devenus un terrain d’entrainement pour les magouilles de hackers. Les Jeux Olympiques vont bientôt commencer à Pyeongchang et sont peut-être les plus sévèrement hackés dans l’histoire des Jeux. Et ce n’est que le début !

Plus que les précédents Jeux Olympiques , Pyeongchang a apparemment été la proie de hackers « sponsorisés par un État ». En effet, une attaque liée à la Russie a permis le vol et la fuite de documents embarrassants provenant de l’organisation des Jeux. Dans le même temps, des chercheurs en sécurité ont tracé une autre opération. Possiblement Nord-Coréenne, elle semble destinée à espionner les organisations Sud-Coréennes.

Les chercheurs en sécurité traquant ces deux opérations ont déclaré que la portée totale de chacune d’entres elles reste mystérieuse. Ce qui nous laisse avec beaucoup de questions. Notamment de savoir si elles pourraient en dévoiler plus durant les Jeux Olympiques eux-mêmes. Et que les signaux d’intrusion des tensions géopolitiques ayant longtemps touché les Jeux s’étendent aujourd’hui aussi au royaume digital.t

Opération GoldDragon

Le plus furtif des deux hacks connus des Jeux Olympiques – et peut-être le plus troublant – a tranquillement visé les organisations des Jeux Sud-Coréenne. Et depuis plus d’un mois.

Les chercheurs de McAfee ont découvert cette semaine seulement que ce hack, appelé Opération GoldDragon, a tenté d’implanter trois outils spyware sur des machines précises. Ainsi, les hackers peuvent fouiller très profondément dans les contenus de ces ordinateurs. McAfee a identifié ces outils comme étant GoldDragon, BravePrince et GHOST419.

De plus, ces malwares ont aussi été reliés à des campagnes phishing, attirant  ses victimes avec des emails rédigés en coréen; donc ciblant des sud-coréens. Ces messages visaient une base de données de plus de 300 cibles liées aux Jeux Olympiques selon McAfee. Seule une adresse était visible dans la ligne « à » : « icehockey@pyeongchang2018.com ». En analysant  la metadata de l’email, McAfee a réussi à identifier d’autres victimes ciblées. Et cela incluait les organisations de tourisme local à Pyeongchang, des stations de ski, transports et départements clés des équipes de Pyeongchang des Jeux Olympiques.

Les hackers ont joint à l’email un fichier Word en Coréen, conçu pour exécuter un script malicieux sur la machine visée. Ainsi, si la victime cliquait sur « autoriser le contenu » après ouverture de la pièce jointe, le hacker aurait eu un accès à distance à l’ordinateur. Les attaquants auraient pu utiliser ce premier pas pour installer leurs spywares pour une visibilité plus accrue de la machine hackée. De plus, le script était caché dans une image « innocente » remplie de stéganographie et autres tactiques obscures.

Jeux Olympiques  Corée du Nord hackers cybersecurity

Des cibles précises

On a retracé le schéma de phishing jusqu’à un serveur à distance en République Tchèque. Qu’on a enregistré avec de faux identifiants à un ministère du gouvernement Sud-Coréen. Et des logs publiquement accessibles ont été trouvés sur ce serveur, montrant que les machines des victimes y étaient en fait connectées depuis la Corée du Sud, signe de véritable infection. Et cette campagne de hacks a été une réussite, en faisant plusieurs victimes.

Malgré toutes ces découvertes, l’origine et le but final de cette campagne de hack relativement sophistiquée restent nébuleuses. Néanmoins, en se basant sur la langue Coréenne et les cibles, cela nous conforte dans la théorie d’une opération d’espionnage Nord Coréen pour garder un oeil sur son voisin.

Cet espionnage peut sembler à l’encontre du récent dégel des relations entre les deux Corées, qui a même résulté d’une combinaison des deux équipes nationales de hockey féminin. Mais la Corée du Nord ne cesserait pas ses hacks agressifs au nom d’une branche d’olivier … Ainsi, on peut le voir comme « garde tes amis près de toi, et tes ennemis plus près encore » !

Des Fancy Bears anti-doppage

Une menace de hacker bien plus importante et explicite a été découverte. Elle émane d’un groupe bien connu, en lien avec l’agence d’intelligence militaire du Kremlin : Fancy Bear. Ou APT28. Et c’est certainement le même « Ours » qui a hacké le comité du parti démocrate national et la campagne Clinton durant les élections de 2016.

Depuis aussi longtemps que Septembre 2017, ces attaques vicieuses ont successivement ciblé des organisations athlétiques. Et avec la preuve évidente que leur but est d’exposer ce que les hackers appellent le dopage généralisé dans les pays occidentaux. Ainsi, cela ressemble à des représailles du bannissement des athlètes Russes des Jeux Olympiques  de 2016 et de 2018 pour les mêmes accusations. De plus, les hackers ont écrit sur leur site « nous commencerons avec l’équipe des États-Unis qui a déshonoré son nom en victoires entachées ». Ce message a été posté quand les premiers documents de l’Association Mondiale Anti-Doppage ont fuit en septembre 2016. En outre, les hackers rajoutent « soyez prêts à tout moment pour la preuve sensationnelle que des athlètes star prennent des substances ».

À l’époque, les hackers de Fancy Bear ont diffusé les dossiers médicaux des athlètes américains Serena Williams, Venus Williams et Simone Biles. Ces documents mettaient en avant les permissions reçues d’utiliser des médicaments spéciaux. En effet, pour traiter le trouble de l’attention et l’inflammation musculaire … et améliorer potentiellement les performances.

Jeux Olympiques Cybersecurity Fancy Bear Hackers

Un hack bien planifié

Cette année, Fancy Bear a planifié son hack spécial Jeux Olympiques  de façon plus proactive. Ainsi, ayant commencé en janvier, les hackers ont publié deux collections de documents hackés d’agences liées aux Jeux Olympiques . En effet, la première révèle des tensions politiques. Entre des officiels du Comité International Olympique et de l’Agence Mondiale Antidopage chargés de réguler les athlètes. Et la seconde pointe des permissions spéciales délivrées à certains athlètes. Par exemple un membre de l’équipe de luge suédoise prend des médicaments contre l’asthme. Et un sportif italien a à un moment loupé un contrôle antidopage. De plus, une troisième fuite est sortie il ya peu, désignant le cas de Shawn Barber, un sauteur à la perche canadien autorisé à participer aux Jeux Olympiques  de 2016 malgré un test positif à la cocaïne.

Néanmoins, aucune des récentes publications de Fancy Bear n’a montré de méfait. Enfin rien de réellement comparable au programme de dopage systématique Russe pour des milliers d’athlètes. Et le monde sportif et les médias occidentaux les ont bien ignoré. Mais les médias nationaux russes ont fidèlement relayé les fuites. De plus, à l’image des attaques contre le parti Démocrate et  Clinton en 2016, il est difficile de mesurer leur impact.

Cette opération ressemble aux tactiques du GB en 1984, lors du bannissement de la Russie des Jeux Olympiques  de Los Angeles. Ainsi, l’agence d’espionnage avait répliqué en écrivant des pamphlets signés KKK menaçants des attaques contre les membres de 20 équipes participantes d’Asie ou d’Afrique. En réalité, ils n’ont pas de but à accomplir. En effet, il est plus question d’enrayer la machine pour rendre la vie plus difficile à leurs adversaires. Et de créer des conflits internes parmi des alliés pour les distraire des accusations qu’on leur porte.

Plus de munitions

Mais Fancy Bear pourrait avoir plus de fuites en stock. Des entreprises de sécurité ont fait le lien entre la campagne de propagande du groupe et tous les faux domaines découverts. Le groupe les utilisait pour des attaques phishing bien organisées. Plusieurs de ces faux domaines ne sont pas encore apparus dans des fuites. Néanmoins, ils ont quand même pu menés à la compromission d’organisations en lien avec les Jeux Olympiques. De plus, le groupe a créé de des faux domaines pour imiter les agence américaine et anglaise antidopage. Ainsi que le conseil Olympique d’Asie, la fédération européenne de Hockey sur glace. Mais aussi la fédération internationale de ski, l’union international de biathlon ainsi que la fédération internationale de Bobsleigh.

Attention, soyons clairs : personne n’a de preuves de la compromission de ces organisations. Mais il est clair que le groupe ayant enregistré de faux domaines pour le phishing Fancy Bear a enregistré  des domaines pour ces cibles également. Et chacun d’entre eux peut être source de nouvelles révélations avant ou pendant les Jeux Olympiques.

En parallèle, la probable campagne d’espionnage Nord-Coréenne pourrait s’empirer. En effet, les hackers peuvent changer leurs motivations. Et rien ne les empêche d’utiliser les machines qu’ils ont infiltré pour lancé une attaque allant au-delà de l’espionnage. Comme par exemple détruire des data ou des réseaux.

Nous savons que d’autres campagnes ont pris le chemin du renseignement pour ensuite l’utiliser pour détruire. Ainsi, impossible de prévoir ce qu’il va arriver ensuite.

Néanmoins, des fuites aux campagnes d’espionnage, cela ne ressemble pas à un scénario cyber-apocalyptique. Mais pour les organisateurs des Jeux Olympiques  – ou les athlètes – c’est une grande source d’inquiétude.

Jeux Olympiques d'Hiver Pyeongchang

Partagez cet article !