Ce jeudi matin, la Russie a commencé son invasion de l’Ukraine et, comme prévu, les attaques dans le monde physique ont été précédées et accompagnées de cyberattaques :

De nouvelles attaques DDoS ont été lancées contre des sites Web d’agences gouvernementales et de banques ukrainiennes
Un nouveau logiciel malveillant d’effacement de données a été découvert sur des ordinateurs ukrainiens, ainsi que sur des machines en Lettonie et en Lituanie
Des chercheurs ont identifié un service Web hébergeant des copies clonées d’un certain nombre de sites Web du gouvernement ukrainien et de la page Web principale du bureau du président, piégé par des logiciels malveillants.
En outre, le National Cyber ​​​​Security Center (NCSC) du Royaume-Uni et la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis ont publié des détails sur un nouveau malware ciblant les périphériques réseau, qu’ils ont attribué à Sandworm (alias BlackEnergy), un acteur menaçant que ces agences ont précédemment attribué au Centre principal des technologies spéciales GTsST du GRU russe.

Les attaques DDoS
Cette dernière série d’attaques DDoS a commencé mercredi après-midi. Comme auparavant, les cibles étaient les sites Web de plusieurs banques et agences gouvernementales ukrainiennes, notamment celles du ministère ukrainien de la Défense, du ministère des Affaires étrangères, du parlement ukrainien et du service de sécurité ukrainien.

Tous sauf le dernier sont actuellement accessibles. Le trafic dirigé vers le site Web du ministère ukrainien de la Défense passe d’abord par les filtres de Cloudflare. L’accès au site Web de Privatbank est également modéré par un dispositif visant à contrecarrer les bots.

Un nouvel effaceur de données : HermeticWiper
Les chercheurs d’ESET ont découvert mercredi un nouveau malware d’effacement de données utilisé en Ukraine.

« La télémétrie ESET montre qu’elle a été installée sur des centaines de machines dans le pays. Cela fait suite aux attaques DDoS contre plusieurs sites Web ukrainiens plus tôt dans la journée », a expliqué la société.

Baptisé HermeticWiper, le malware a également été repéré par les chercheurs de Symantec.

Selon ESET, le binaire de l’essuie-glace a été signé avec un certificat de signature de code légitime (éventuellement compromis), abuse des pilotes légitimes du logiciel EaseUS Partition Master pour corrompre les données, puis redémarre finalement l’ordinateur cible.

« Dans l’une des organisations ciblées, l’effaceur a été abandonné via le GPO par défaut (politique de domaine), ce qui signifie que les attaquants avaient probablement pris le contrôle du serveur Active Directory », a également ajouté la société.

Copies clonées de sites Web du gouvernement ukrainien
Le chercheur indépendant sur les menaces Snorre Fagerland, Bellingcat et The Insider ont découvert un service Web qui « a joué un rôle dans les cyberattaques passées liées aux intérêts de l’État russe » et y ont trouvé des copies clonées hébergées d’un certain nombre de sites Web du gouvernement ukrainien.

« Ces sites Web clonés ont été créés au plus tôt en novembre 2021, à peu près au moment où la dernière série d’escalades de la Russie contre l’Ukraine a commencé », a déclaré Bellingcat.

« Notamment, la version clonée du site du président ukrainien est modifiée pour contenir une campagne cliquable « Soutenez le président » qui, une fois cliqué, télécharge un paquet de logiciels malveillants sur l’ordinateur de l’utilisateur. »

Il est bien sûr impossible de savoir comment ces sites Web clonés auraient été utilisés, bien que les chercheurs aient trouvé des pages de connexion copiées qui pointent vers le phishing.

Ils ont également spéculé sur les objectifs ultimes du logiciel malveillant, tels que compromettre les machines de dizaines ou de centaines de milliers d’Ukrainiens et les utiliser pour des attaques DDoS, et voler les informations d’identification des comptes de médias sociaux, pour une utilisation future dans des campagnes de désinformation en ligne.

« Il n’y a aucune preuve que l’infrastructure et les logiciels malveillants derrière [ce service Web] aient été utilisés ou liés aux cyberattaques d’aujourd’hui subies par les institutions gouvernementales ukrainiennes », ont noté les chercheurs de Bellingcat.

Ils ont également ajouté qu’au cours des deux derniers mois, « les mêmes acteurs de la menace envoyaient des logiciels malveillants dans plus de 35 fichiers zip différents via des liens discordants », destinés à des cibles ukrainiennes de grande valeur dans les différents ministères et l’agence nucléaire du pays.

Le malware Cyclops Blink « remplace » VPNFilter
Le NCSC et la CISA ont publié des détails sur Cyclops Blink, un nouveau malware ciblant les périphériques réseau qui est apparemment utilisé par l’acteur de la menace Sandworm.

« Cyclops Blink semble être un cadre de remplacement pour le logiciel malveillant VPNFilter exposé en 2018, qui exploitait des périphériques réseau, principalement des routeurs pour petits bureaux/bureaux à domicile (SOHO) et des périphériques de stockage en réseau (NAS) », a déclaré le NCSC.

« L’acteur a jusqu’à présent principalement déployé Cyclops Blink sur les appareils WatchGuard [firewall], mais il est probable que Sandworm serait capable de compiler le malware pour d’autres architectures et firmwares. »

Le logiciel malveillant collecte des informations sur l’appareil, les envoie à un serveur de commande et de contrôle et est capable de télécharger et d’exécuter des fichiers, ainsi que d’obtenir des modules supplémentaires à une date ultérieure.

La chose la plus intéressante à propos de ce logiciel malveillant est son mécanisme de persistance : le processus de mise à jour légitime du micrologiciel de l’appareil :

Cyclops Blink persistance tout au long du processus de mise à jour légitime

« Cela permet d’obtenir une persistance lorsque l’appareil est redémarré et rend la correction plus difficile », a noté le NCSC.

Plus de détails techniques sur Cyclops Blink et les indicateurs de compromis sont disponibles ici. WatchGuard a également publié une FAQ à ce sujet, un plan de diagnostic et de remédiation et des outils de détection.

« Suite à une enquête approfondie, WatchGuard estime que l’auteur de la menace a utilisé une vulnérabilité précédemment identifiée et corrigée qui n’était accessible que lorsque les politiques de gestion de l’appliance de pare-feu étaient configurées pour permettre un accès de gestion illimité à partir d’Internet. Cette vulnérabilité a été entièrement corrigée par des correctifs de sécurité qui ont commencé à être déployés dans les mises à jour logicielles en mai 2021 », a noté la société.

WatchGuard a été informé pour la première fois par le FBI de l’attaque contre ses appareils fin novembre 2021, donc cette compromission généralisée ne semble pas liée à la situation actuelle en Ukraine. Néanmoins, compte tenu de sa source présumée, il pourrait s’agir d’une préparation à de futures attaques qui pourraient encore se produire pendant ce conflit militaire en cours.

À quoi s’attendre ensuite?
Chester Wisniewski, chercheur principal chez Sophos, a souligné que la guerre de l’information est la façon dont le Kremlin peut essayer de contrôler la réponse du reste du monde aux actions en Ukraine ou à toute autre cible d’attaque.

« Les faux drapeaux, les erreurs d’attribution, les communications perturbées et la manipulation des médias sociaux sont tous des éléments clés du manuel de guerre de l’information de la Russie. Ils n’ont pas besoin de créer une couverture permanente pour les activités sur le terrain et ailleurs, ils doivent simplement causer suffisamment de retard, de confusion et de contradiction pour permettre à d’autres opérations simultanées d’atteindre leurs objectifs », a-t-il déclaré à Help Net Security.

« Il est intéressant de noter que les États-Unis et le Royaume-Uni tentent d’anticiper certaines des campagnes de désinformation, ce qui pourrait limiter leur efficacité. Cependant, nous ne devons pas supposer que les attaquants cesseront d’essayer, nous devons donc rester préparés et vigilants.

« Alors que la sécurité de défense en profondeur devrait être la chose normale à rechercher dans le meilleur des cas, elle est particulièrement importante si nous pouvons nous attendre à une augmentation de la fréquence et de la gravité des attaques. La désinformation et la propagande atteindront bientôt leur paroxysme, mais nous devons garder le nez au sol, fermer les écoutilles et surveiller tout ce qui est inhabituel sur nos réseaux alors que le conflit va et vient et même quand/s’il se termine bientôt. Car comme nous le savons tous, cela pourrait prendre des mois avant que des preuves d’intrusions numériques dues à ce conflit russo-ukrainien ne fassent surface.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *