En février 2018, le logiciel malveillant Olympic Destroyer a frappé les organisateurs, les fournisseurs et les partenaires des Jeux Olympiques d'hiver qui se sont déroulés à PyeongChang (Corée du Sud) par le biais d'une opération de cybersabotage utilisant un ver réseau particulièrement virulent. L'origine de l'attaque était incertaine car de nombreux indicateurs pointaient dans des directions différentes, provoquant une certaine confusion dans l'industrie de l'info-sécurité. Selon quelques signes rares et sophistiqués découverts par Kaspersky Lab, il a alors semblé que le groupe de hackers Lazarus lié à la Corée du Nord était derrière l'opération. Mais en mars, la société a confirmé que la campagne comportait un « false flag » très élaboré et convaincant, et qu'il était peu probable que Lazarus en soit la source. Les chercheurs savent à présent que l'opération Olympic Destroyer est sur le point de faire son retour, que certains de ses outils d'infiltration et de reconnaissance originaux sont utilisés, et que ses actions sont concentrées sur des cibles européennes. Le groupe responsable de la menace répand son logiciel malveillant par le biais de documents de spear-phishing qui ressemblent fort aux documents infectés utilisés lors de l'opération menée lors des Jeux olympiques d'hiver. L'un de ces leurres faisait référence à la « Spiez Convergence », une série d'ateliers consacrée aux menaces biochimiques et organisée en Suisse par le Laboratoire Spiez, dont le rôle dans l'enquête sur l'affaire de Salisbury a été déterminant. Un autre document visait une entité de l'autorité d'inspection sanitaire et vétérinaire de l'Ukraine. Certains des documents de phishing mis au jour par les chercheurs comportent des mots en langues russe et allemande. Toutes les charges utiles (payload) finales qui ont été extraites des documents malveillants ont été conçues pour fournir un accès générique aux ordinateurs infectés. Un framework libre open-source, largement connu sous le nom de Powershell Empire, a été utilisé pour la deuxième étape de l'offensive. Il semble que les attaquants utilisent des serveurs Web légitimes infectés pour héberger et piloter le logiciel malveillant. Ces serveurs utilisent Joomla, un système de gestion de contenus (CMS) disponible en open-source et très apprécié. Les chercheurs ont découvert que l'un des serveurs hébergeant la charge utile malveillante utilisait une version de Joomla publiée en novembre 2011 (v1.7.3), ce qui laisse entendre qu'une variante largement obsolète du CMS a pu être utilisée pour pirater les serveurs. Sur la base des données télémétriques de Kaspersky Lab et des fichiers téléchargés vers des services multi-scanner, il semble que cette nouvelle campagne d'Olympic Destroyer cible des entités situées en Allemagne, en France, en Suisse, aux Pays-Bas, en Ukraine et en Russie. Lors de l'attaque qui a frappé les Jeux olympiques d'hiver, le début de la phase de reconnaissance a eu lieu quelques mois avant l'épidémie du ver réseau destructeur et automodifiable. Il est fort possible qu'Olympic Destroyer prépare une attaque similaire avec de nouveaux objectifs. C'est pourquoi nous conseillons aux organismes de recherche spécialisés dans les menaces biologiques et chimiques de se maintenir en état d'alerte et, dans la mesure du possible, de procéder à un audit de sécurité non planifié. Les produits Kaspersky Lab détectent et bloquent avec succès les logiciels malveillants liés à Olympic Destroyer.
