L’Organisation de l'aviation civile internationale (OACI) a été visée par une cyberattaque d’une ampleur importante. En effet, en novembre 2016, un analyste en cyberintelligence de la firme Lockheed Martin a contacté l’organisation internationale, après avoir constaté qu’un cybercriminel avait pris contrôle de deux de ses serveurs. L’OACI a été visée avec succès par une attaque de points d’eau (ou watering hole, en anglais), soit une attaque où un cyberattaquant utilise un site Web fréquenté par la cible visée en y injectant un exploit, dans le but d’infecter celle-ci. L’analyste de Lockheed Martin soulignait dans son message que cette attaque pourrait représenter une « menace importante pour l’industrie aéronautique. »

Après avoir pris connaissance de l’avis lancé, l’OACI mandate un analyste externe pour analyser cette attaque. L’analyse préliminaire réalisée par Secureworks révèle des problèmes plus profonds. Cette analyse, telle que rapportée par Radio-Canada, indiquait que l’attaque va au-delà de l’incident initialement noté sur deux serveurs de l’organisation, et que l’attaque a également touché « les comptes des serveurs de messagerie, d'administrateur de domaine et d'administrateur système ».

Cette cyberattaque, qui semble attribuable au groupe APT LuckyMouse, aussi connu sous les noms d’Emissary Panda, d’APT27 et de Bronze Union, aurait entraîné l’infection d’un site Web gouvernemental. Dans les semaines suivants l’attaque, le compte de e-mail d’une déléguée de l’OACI a également été usurpé par des pirates pour l’envoi de messages, mais les médias rapportant l’information sur l’attaque n’indiquent pas si les deux incidents sont officiellement liés.

Des problèmes de communication et de coopération avec l’organisation internationale auraient entrainé des délais dans l’analyse approfondie de l’attaque par Secureworks, notamment le déchiffrage d’un serveur de messagerie infecté, étape importante permettant d’identifier et d'avertir les utilisateurs dont la sécurité et les données pourraient avoir été compromis.

Une fois ce serveur déchiffré, les analystes ont pu lier cette attaque à un compte interne de l’organisation. Il est néanmoins impossible de déterminer si ce compte avait été compromis par l’attaque.

LuckyMouse

Selon Matthieu Faou, chercheur en logiciels malveillants d’ESET, LuckyMouse se spécialise dans les attaques de point d’eau, comme c’est le cas de cette cyberattaque. « Ce groupe APT scanne le Web à la recherche de serveurs vulnérables. Ces serveurs affectés peuvent lui permettre de compromettre de nouvelles victimes par la suite. »

L’expert ajoute que LuckyMouse dispose de divers outils pour atteindre ses victimes, qui sont souvent ciblés en Asie centrale, au Moyen-Orient et en Mongolie. « En plus d’utiliser des outils génériques relativement accessible sur le Web, le groupe a développé des outils qui lui sont propres, notamment un rootkit. L’année dernière, il a d’ailleurs volé un certificat numérique appartenant à une entreprise légitime, utilisé afin de signer son rootkit. »

Selon José Fernandez, expert en cybersécurité et professeur à Polytechnique Montréal, « L’OACI est un choix naturel », pour dans un but de cyberespionnage, un type de campagne auquel LuckyMouse est souvent associé. « L'agence devenant ainsi un guichet unique pour le piratage de tous les autres acteurs de l'industrie aérospatiale ».

Anthony Philbin, chef des communications de l’OACI, a tenu à rassurer la population suite aux révélations entourant cette cyberattaque. Il affirme, suite au reportage de la CBC : « Nous n'avons pas connaissance de conséquences graves en matière de cybersécurité pour les partenaires externes qui auraient résulté de cet incident (…) », avant d’ajouter que,  depuis cette attaque, « l'OACI a apporté de solides améliorations à son dispositif de cybersécurité et à ses approches pour atténuer d'autres incidents. »

Dans tous les cas, cet incident souligne l’importance d’une réaction rapide et coordonnée lorsqu’une organisation fait face à une cyberattaque. L’élaboration d’un plan de réponse en cas d’incident de cybersécurité doit désormais être au cœur de la planification globale en matière de sécurité de toute organisation. C’est particulièrement vrai pour les cibles d’envergure ou davantage à risques de subir une attaque ciblée, mais c’est un exercice auquel toute entreprise devrait se soumettre.